ToMMMeK

Ich bin's nochmal. Diesmal mit einigen Neuigkeiten. Ich habe die Tage nach weiteren Möglichkeiten gesucht, wie man mit Hilfe unserer bestehenden Chipkarten (Mifare DESFire EV1) eine Zwei-Faktor-Authentifizierung zwecks Domänenanmeldung realisieren könnte. Ich bin dabei auf eine Lösung von der Firma Identive Group (ehem. SCM Microsystems) namens "ConCERTO LOGON" gestoßen. Das ganze soll ganz leicht in bestehende IT-Infrastrukturen zu implementieren sein und bedarf keiner weiteren Hardware (bis auf die Lese- & Schreibgeräte und, sofern benötigt, entsprechende Chipkarten). Ich erhalte in Kürze eine Teststellung und probiere das Ganze mal aus. Auf jeden Fall würde mir hiermit dieser ganze undurchsichtige PKI- und Zertifikatskram erspart bleiben... Bei Interesse könnte ich ja meine Erfahrungen hierzu niederschreiben. LG - ToMMMeK

Hast du hierzu zufällig weitere Informationen? Im Rahmen meiner Recherchen bin ich hierauf leider noch gar nicht gestoßen.. :-/ Hört sich auf jeden Fall sehr interessant an und könnte die ganze Angelegenheit vereinfachen... Was ich weiß ist, dass die Authentifizierung an unseren Kopiergeräten auf Basis der internen Kartennummern realisiert wird. Jeder einzelnen Karte wird vorab ein Benutzerkonto samt Passwort zugewiesen, anschließend ist eine Anmeldung am Kopiergerät durch Auflegen der Karte möglich. Eventuell wären unsere im Umlauf befindlichen Karten hierzu ja geeignet.. ? PS: Die offenen Punkte beantworte ich noch, ich warte momentan noch auf die nötigen Infos...

Hätte man nicht sämtliche Konfigurationen jedes einzelnen USB-Tokens abspeichern und an einem sicheren Ort ablegen können? Sodass in so einem Fall (vergessen) eine exakte Kopie des entsprechenden USB-Tokens temporär generiert werden könnte? Oder stelle ich mir das zu einfach vor?! .. Wie gesagt: In diesem Fall soll lediglich eine Möglichkeit erarbeitet werden, mit der Gäste sich an den Systemen in der Bibliothek authentifizieren können, um Zugriff auf diverse Services zu erhalten. Die Smartcard samt zugehöriger PIN würden die dann gegen Abgabe eines Pfands ausgehändigt bekommen. Ein globaler Einsatz u.a. für unsere Mitarbeiter ist (noch) nicht vorgesehen.

- Firmeneigene CA (oder was genau wolltest du wissen?) - InterCard Card Management System - zu drittens: Das weiß ich (noch) nicht -> zuständiger Kollege wurde kontaktiert Aus einer Infomail bezüglich der Dienstausweise geht hervor, dass "ein eigenständiger Kryptoprozessor für hochgradig verschlüsselte Datenübertragungen zum Einsatz kommt". Demnach scheint der Cryptochip wohl vorhanden zu sein?! (Ich habe soeben ein Whitepaper mit den genauen Kartenspezifikationen beantragt, mal schauen ob was zurück kommt... ) PS: Ginge denn auch eine Anmeldung mittels Smartcards, die unabhängig von Zertifikaten ist? .. Wohl kaum, oder? Ich bin nur die ausführende Kraft, das Nachdenken über solche Prozessabläufe ist den Chefs überlassen :) Bis eine Authentifizierung mittels Smartcards in den anderen Abteilungen Einzug erhält, bedarf es zunächst einer funktionierenden Lösung (die ich aktuell versuche zu ermitteln). Alles weitere liegt noch in weiter Ferne. Jetzt gilt es den Stein zunächst in's Rollen zu bringen. Mein Abschlussprojekt soll letztendlich nur als Einstieg in die gesamte Thematik dienen...

Guten Morgen liebe Gemeinde, aktuell befinde ich mich im 3. Lehrjahr meiner Ausbildung zum Fachinformatiker (FR Systemintegration). Ausbildungsstelle ist die Hochschule Hannover. Im Rahmen meines Abschlussprojekts muss ich nun eine Smartcard-Authentifizierungsmethode zwecks Domänenanmeldung prüfen und implementieren. Mein Projekt beschränkt sich zunächst (glücklicherweise nur) auf folgendes Szenario: Gäste der Bibliothek, welche kein Benutzerkonto in der hiesigen Domäne besitzen, sollen eine Möglichkeit erhalten die PC-, Drucker- und Kopiersysteme in den Räumlichkeiten der Bibliothek nutzen zu können. Hierfür sollen entsprechende Smartcards erzeugt werden, welche gegen Pfand herausgegeben werden und letztendlich den Zugang zu den Systemen ermöglichen. Da man nur für Gäste jedoch keinen so großen Aufwand betreiben möchte, soll die Lösung erweiterbar sein, sodass in Zukunft weitere mögliche Einsatzbereiche (Stichwort "Citrix XenDesktop") mit der Smartcard-Methode abgesichert und zugänglich gemacht werden können. Darüber hinaus soll geprüft werden, ob sich unsere FHHCard für einen solchen Einsatzzweck eignet, um nicht zusätzliche Chipkarten kaufen zu müssen. Folgendes ist bereits vorhanden: - DC (WS2003 R2) - Zertifizierungsstelle / CA - Print-Server (WS2003 R2 inkl. Abrechnungssoftware "Pcounter") - Citrix XenServer + Provisioning Server + XenApp + XenDesktop - W7-Clients + Igel Thin Clients (Linux Embedded) - FHHCard (Mifare DESFire) - Kartenmanagementsystem Die FHHCard auf Basis des Mifare DESFire Chips ist eine personalisierte, multifunktionale Chipkarte, welche bereits für unterschiedliche Zwecke genutzt wird (u.a. Zeiterfassung, Zutritt, bezahlen in der Mensa, Authentifizierung an den Kopiergeräten). Nun zu meinem Anliegen: - Was benötige ich für eine Umsetzung des Projekts neben den bereits existierenden Systemen noch? - Wäre es realisierbar die bestehenden Chipkarten mit den nötigen Settings zwecks Smartcard-Funktion zu erweitern? - Hat jemand schonmal Erfahrungen sammeln können was Igel Thin Clients in Kombination mit der "Igel Smartcard" anbelangt? Sofern Igel externe Lesegeräte im Portfolio hat, welche die Mifare DESFire Karten "verstehen", käme eine solche Lösung auf jeden Fall in Frage (siehe "Ihre Vorteile" unter dem oben aufgeführten Link). Ich verstehe die Igel Lösung als eine Art "Out-of-the-box" Produkt, welches auf Basis der (hoffentlich) existierenden Dokumentation relativ leicht zu implementieren ist... LG und vielen Dank schonmal ToMMMeK