Jump to content
Sign in to follow this  
srv2008

SmartCard Login

Recommended Posts

Liebe Kolleginnen und Kollegen,

 

Gerne würde ich Informationen über das Thema "SmartCard Login über ThinClients am Terminal Server" sammeln, da ich mich mit dieser Thematik noch nicht beschäftigt habe.

 

Unsere Mitarbeiter sollen sich in naher Zukunft mit Hilfe von SmartCards am TerminalServer authentifizieren. Mit dem Hersteller unserer ThinClients (Linux OS) habe ich dies bereits besprochen und er gibt uns grünes Licht für sämtliche SmartCardReader welche über PCSC angesprochen werden können - hierfür sind Treiber in den ThinClients integriert. Er nannte uns ebenfalls ein paar mögliche CardReader, welche bei anderen Kunden im Einsatz sind und ohne Probleme funktionieren.

 

Nun sind mir ein paar Dinge unklar. Soweit ich das verstanden habe, müssen folgende Dinge gegeben sein, um ein Login mit SmartCards zu ermgölichen:

- Auf dem ThinClient müssen die Treiber für das Gerät installiert sein (OK)

- In der RDP Verbindung muss die Weiterleitung für SmartCards aktiv sein (OK)

- Am Server muss eine Einstellung getätigt werden, damit die Benutzer sich über eine SmartCard einloggen können (?)

- Am Server muss eine Software installiert werden, um die Karten zu verwalten (?)

 

Die rot beschriebenen Punkte machen mir noch Kopfzerbrechen, da ich mir hierbei nicht sicher bin wie und was genau eingestellt / installiert werden muss.

 

Ebenfalls habe ich noch folgende Frage:

Wie "beschreibe" ich solch eine Karte für einen Mitarbeiter XYZ und lese diese dann am TerminalServer ein, damit dieser auch weiss Karte A gehört Mitarbeiter A?

 

Ich nehme mal an da wird *irgendwie* ein Zertifikat auf die Karte gestellt und dieses muss dann auch beim TS eingelesen werden + ein PIN vergeben?

 

 

Danke für weitere Informationen bezüglich diesem Sachverhalt!

 

schöne Grüsse

Share this post


Link to post
Share on other sites

Hi,

 

a) Am Server muss eine Einstellung getätigt werden, damit die Benutzer sich über eine SmartCard einloggen können (?)

b Am Server muss eine Software installiert werden, um die Karten zu verwalten (?)

 

a) ja und nein: Am Server muß die Zertifikatskette hinterlegt sein, der Zugriff auf die Sperrliste muss möglich sein, der Smartcarddienst (2008) muss aktiviert sein, Treiber müssen vorhanden sein. Also nichts besonderes, was bei einer lokalen Clientanmeldung nicht auch notwendig wäre

Wenn noch Citrix mit im Spiel ist, dann gestaltet es sich interessanter.

 

b) ja, die Middleware u.a. mit den Kartendefinitionen

 

Wie "beschreibe" ich solch eine Karte für einen Mitarbeiter XYZ und lese diese dann am TerminalServer ein, damit dieser auch weiss Karte A gehört Mitarbeiter A?

 

Ich nehme mal an da wird *irgendwie* ein Zertifikat auf die Karte gestellt und dieses muss dann auch beim TS eingelesen werden + ein PIN vergeben?

Wie "beschreibe" ich solch eine Karte für einen Mitarbeiter XYZ und lese diese dann am TerminalServer ein, damit dieser auch weiss Karte A gehört Mitarbeiter A?

 

Eine Karte mit Zertifikat ist der Normalfall. Zum Beschreiben wird üblicherweise ein Kartenmanagementsystem (CMS) eingesetzt, über welches ein Zertifikat von einer CA angefordert wird und auf die Karte gebracht wird. Dabei vom CMS eine PIN und eine PUK generiert, deren einziger Zweck es ist, den Besitzer der Karte auf das Betriebssystem der Karte zu lassen und für ihn die dortigen geschützten Informationen (=Privatekey des Zertifikats) lesbar zu machen.

 

blub

Share this post


Link to post
Share on other sites
Hi,

 

a) ja und nein: Am Server muß die Zertifikatskette hinterlegt sein, der Zugriff auf die Sperrliste muss möglich sein, der Smartcarddienst (2008) muss aktiviert sein, Treiber müssen vorhanden sein. Also nichts besonderes, was bei einer lokalen Clientanmeldung nicht auch notwendig wäre

<> Ich nehme an die Zertifikatskette erhalte ich aus dem Kartenmanagementsystem bzw. direkt von einer CA.

<> Was genau ist die Sperrliste?

<> Muss ich den Smartcarddienst über Rollen/Features auf dem WK2008 installieren? (Direkt in den services.msc finde ich den nicht)

 

Wenn noch Citrix mit im Spiel ist, dann gestaltet es sich interessanter.

Haben wir nicht :)

 

Eine Karte mit Zertifikat ist der Normalfall. Zum Beschreiben wird üblicherweise ein Kartenmanagementsystem (CMS) eingesetzt, über welches ein Zertifikat von einer CA angefordert wird und auf die Karte gebracht wird.

Sprich die Schritte würden folgendermassen aussehen:

1. Anfordern eines Zertifikates von einer CA für einen bestimmten Benutzer

2. Einspielen dieses Zertifikates über das CMS - welches bei uns im Haus ist

3. Am Server Verknüpfung von Karte A zu Mitarbeiter A durchführen

4. Dem Mitarbeiter seinen PIN mitteillen

 

 

 

Danke für weitere Informationen.

 

schöne Grüsse

Share this post


Link to post
Share on other sites

Hallo,

 

- Eine Sperrliste ist eine Textdatei, auf der die Seriennummern aller von der ausgebenden CA gesperrten Zertifikate enthalten sind

 

- Der Deinst "Smartcard" sollte auf Win7/ Server2008 vorhanden sein.

 

- Die Verknüpfung des Zertifikats zum User erfolgt durch den UPN, der im Zertifikat hinterlegt ist (name@domain.de)

 

Technisch ist das Thema noch relativ einfach, schwieriger sind die Prozesse: z.B. wie kommen Karte und Pin zum Anwender? wie lange sollen Zertifikate gültig sein? Was passiert bei verlorenen/ vergessenen Karten. Was macht man noch mit der Karte? Welche Kartentypen benützt man (Filebasiert / Java ..) ? .....

 

Wer oder was treibt dich denn zu einer Smartcardlösung für die Authentisierung? Das Thema ist echt komplex, das macht man nicht einfach mal "gerne", sondern dazu brauchts m.E. ein richtiges Projekt, was z.B. als erstes die Anforderungen definiert.

Viel viel später kannst du dich z.b. mit Kartenlesern/ Kartenmodellen beschäftigen

 

blub

Share this post


Link to post
Share on other sites
Hallo,

- Eine Sperrliste ist eine Textdatei, auf der die Seriennummern aller von der ausgebenden CA gesperrten Zertifikate enthalten sind

Kommt diese zum tragen, falls von der CA Zertifikate entwendet wurden und diese als ungültig deklariert werden müssen?

 

- Der Deinst "Smartcard" sollte auf Win7/ Server2008 vorhanden sein.

Mein Fehler - ich hab ihn nur übersehen...

Man sieht den Wald vor lauter Bäume nicht ;)

 

- Die Verknüpfung des Zertifikats zum User erfolgt durch den UPN, der im Zertifikat hinterlegt ist (name@domain.de)

Das bedeutet wenn sich der User mit seinem Benutzer xy an einem Terminalserver anmeldet, so wird auf die Karte auch xy@domain.XYZ vermerkt?

 

Wer oder was treibt dich denn zu einer Smartcardlösung für die Authentisierung? Das Thema ist echt komplex, das macht man nicht einfach mal "gerne", sondern dazu brauchts m.E. ein richtiges Projekt, was z.B. als erstes die Anforderungen definiert.

Unsere Vorgesetzten wollen, dass sich die Mitarbeiber über ThinClients mit Hilfe von SmartCards auf dem TS authentifizieren ...

 

 

 

Gruss

Share this post


Link to post
Share on other sites
Kommt diese zum tragen, falls von der CA Zertifikate entwendet wurden und diese als ungültig deklariert werden müssen?

 

zum Beispiel

 

Das bedeutet wenn sich der User mit seinem Benutzer xy an einem Terminalserver anmeldet, so wird auf die Karte auch xy@domain.XYZ vermerkt?

Das bedeutet wenn sich der User mit seiner Karte xy an einem DC anmeldet, so muß im Zertifikate auf der Karte auch xy@domain.XYZ hinterlegt sein

 

Unsere Vorgesetzten wollen, dass sich die Mitarbeiber über ThinClients mit Hilfe von SmartCards auf dem TS authentifizieren ...

 

Dann frag mal deine Vorgesetzten nach möglichst präzisen Anforderungen und erstelle daraus sowas wie ein Lastenheft.

 

blub

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...