srv2008 10 Geschrieben 6. Dezember 2011 Melden Teilen Geschrieben 6. Dezember 2011 Liebe Kolleginnen und Kollegen, Gerne würde ich Informationen über das Thema "SmartCard Login über ThinClients am Terminal Server" sammeln, da ich mich mit dieser Thematik noch nicht beschäftigt habe. Unsere Mitarbeiter sollen sich in naher Zukunft mit Hilfe von SmartCards am TerminalServer authentifizieren. Mit dem Hersteller unserer ThinClients (Linux OS) habe ich dies bereits besprochen und er gibt uns grünes Licht für sämtliche SmartCardReader welche über PCSC angesprochen werden können - hierfür sind Treiber in den ThinClients integriert. Er nannte uns ebenfalls ein paar mögliche CardReader, welche bei anderen Kunden im Einsatz sind und ohne Probleme funktionieren. Nun sind mir ein paar Dinge unklar. Soweit ich das verstanden habe, müssen folgende Dinge gegeben sein, um ein Login mit SmartCards zu ermgölichen: - Auf dem ThinClient müssen die Treiber für das Gerät installiert sein (OK) - In der RDP Verbindung muss die Weiterleitung für SmartCards aktiv sein (OK) - Am Server muss eine Einstellung getätigt werden, damit die Benutzer sich über eine SmartCard einloggen können (?) - Am Server muss eine Software installiert werden, um die Karten zu verwalten (?) Die rot beschriebenen Punkte machen mir noch Kopfzerbrechen, da ich mir hierbei nicht sicher bin wie und was genau eingestellt / installiert werden muss. Ebenfalls habe ich noch folgende Frage: Wie "beschreibe" ich solch eine Karte für einen Mitarbeiter XYZ und lese diese dann am TerminalServer ein, damit dieser auch weiss Karte A gehört Mitarbeiter A? Ich nehme mal an da wird *irgendwie* ein Zertifikat auf die Karte gestellt und dieses muss dann auch beim TS eingelesen werden + ein PIN vergeben? Danke für weitere Informationen bezüglich diesem Sachverhalt! schöne Grüsse Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Dezember 2011 Melden Teilen Geschrieben 6. Dezember 2011 Hi, a) Am Server muss eine Einstellung getätigt werden, damit die Benutzer sich über eine SmartCard einloggen können (?) b Am Server muss eine Software installiert werden, um die Karten zu verwalten (?) a) ja und nein: Am Server muß die Zertifikatskette hinterlegt sein, der Zugriff auf die Sperrliste muss möglich sein, der Smartcarddienst (2008) muss aktiviert sein, Treiber müssen vorhanden sein. Also nichts besonderes, was bei einer lokalen Clientanmeldung nicht auch notwendig wäre Wenn noch Citrix mit im Spiel ist, dann gestaltet es sich interessanter. b) ja, die Middleware u.a. mit den Kartendefinitionen Wie "beschreibe" ich solch eine Karte für einen Mitarbeiter XYZ und lese diese dann am TerminalServer ein, damit dieser auch weiss Karte A gehört Mitarbeiter A? Ich nehme mal an da wird *irgendwie* ein Zertifikat auf die Karte gestellt und dieses muss dann auch beim TS eingelesen werden + ein PIN vergeben? Wie "beschreibe" ich solch eine Karte für einen Mitarbeiter XYZ und lese diese dann am TerminalServer ein, damit dieser auch weiss Karte A gehört Mitarbeiter A? Eine Karte mit Zertifikat ist der Normalfall. Zum Beschreiben wird üblicherweise ein Kartenmanagementsystem (CMS) eingesetzt, über welches ein Zertifikat von einer CA angefordert wird und auf die Karte gebracht wird. Dabei vom CMS eine PIN und eine PUK generiert, deren einziger Zweck es ist, den Besitzer der Karte auf das Betriebssystem der Karte zu lassen und für ihn die dortigen geschützten Informationen (=Privatekey des Zertifikats) lesbar zu machen. blub Zitieren Link zu diesem Kommentar
srv2008 10 Geschrieben 7. Dezember 2011 Autor Melden Teilen Geschrieben 7. Dezember 2011 Hi, a) ja und nein: Am Server muß die Zertifikatskette hinterlegt sein, der Zugriff auf die Sperrliste muss möglich sein, der Smartcarddienst (2008) muss aktiviert sein, Treiber müssen vorhanden sein. Also nichts besonderes, was bei einer lokalen Clientanmeldung nicht auch notwendig wäre <> Ich nehme an die Zertifikatskette erhalte ich aus dem Kartenmanagementsystem bzw. direkt von einer CA. <> Was genau ist die Sperrliste? <> Muss ich den Smartcarddienst über Rollen/Features auf dem WK2008 installieren? (Direkt in den services.msc finde ich den nicht) Wenn noch Citrix mit im Spiel ist, dann gestaltet es sich interessanter. Haben wir nicht :) Eine Karte mit Zertifikat ist der Normalfall. Zum Beschreiben wird üblicherweise ein Kartenmanagementsystem (CMS) eingesetzt, über welches ein Zertifikat von einer CA angefordert wird und auf die Karte gebracht wird. Sprich die Schritte würden folgendermassen aussehen: 1. Anfordern eines Zertifikates von einer CA für einen bestimmten Benutzer 2. Einspielen dieses Zertifikates über das CMS - welches bei uns im Haus ist 3. Am Server Verknüpfung von Karte A zu Mitarbeiter A durchführen 4. Dem Mitarbeiter seinen PIN mitteillen Danke für weitere Informationen. schöne Grüsse Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 Hallo, - Eine Sperrliste ist eine Textdatei, auf der die Seriennummern aller von der ausgebenden CA gesperrten Zertifikate enthalten sind - Der Deinst "Smartcard" sollte auf Win7/ Server2008 vorhanden sein. - Die Verknüpfung des Zertifikats zum User erfolgt durch den UPN, der im Zertifikat hinterlegt ist (name@domain.de) Technisch ist das Thema noch relativ einfach, schwieriger sind die Prozesse: z.B. wie kommen Karte und Pin zum Anwender? wie lange sollen Zertifikate gültig sein? Was passiert bei verlorenen/ vergessenen Karten. Was macht man noch mit der Karte? Welche Kartentypen benützt man (Filebasiert / Java ..) ? ..... Wer oder was treibt dich denn zu einer Smartcardlösung für die Authentisierung? Das Thema ist echt komplex, das macht man nicht einfach mal "gerne", sondern dazu brauchts m.E. ein richtiges Projekt, was z.B. als erstes die Anforderungen definiert. Viel viel später kannst du dich z.b. mit Kartenlesern/ Kartenmodellen beschäftigen blub Zitieren Link zu diesem Kommentar
srv2008 10 Geschrieben 7. Dezember 2011 Autor Melden Teilen Geschrieben 7. Dezember 2011 Hallo,- Eine Sperrliste ist eine Textdatei, auf der die Seriennummern aller von der ausgebenden CA gesperrten Zertifikate enthalten sind Kommt diese zum tragen, falls von der CA Zertifikate entwendet wurden und diese als ungültig deklariert werden müssen? - Der Deinst "Smartcard" sollte auf Win7/ Server2008 vorhanden sein. Mein Fehler - ich hab ihn nur übersehen... Man sieht den Wald vor lauter Bäume nicht ;) - Die Verknüpfung des Zertifikats zum User erfolgt durch den UPN, der im Zertifikat hinterlegt ist (name@domain.de) Das bedeutet wenn sich der User mit seinem Benutzer xy an einem Terminalserver anmeldet, so wird auf die Karte auch xy@domain.XYZ vermerkt? Wer oder was treibt dich denn zu einer Smartcardlösung für die Authentisierung? Das Thema ist echt komplex, das macht man nicht einfach mal "gerne", sondern dazu brauchts m.E. ein richtiges Projekt, was z.B. als erstes die Anforderungen definiert. Unsere Vorgesetzten wollen, dass sich die Mitarbeiber über ThinClients mit Hilfe von SmartCards auf dem TS authentifizieren ... Gruss Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 Kommt diese zum tragen, falls von der CA Zertifikate entwendet wurden und diese als ungültig deklariert werden müssen? zum Beispiel Das bedeutet wenn sich der User mit seinem Benutzer xy an einem Terminalserver anmeldet, so wird auf die Karte auch xy@domain.XYZ vermerkt? Das bedeutet wenn sich der User mit seiner Karte xy an einem DC anmeldet, so muß im Zertifikate auf der Karte auch xy@domain.XYZ hinterlegt sein Unsere Vorgesetzten wollen, dass sich die Mitarbeiber über ThinClients mit Hilfe von SmartCards auf dem TS authentifizieren ... Dann frag mal deine Vorgesetzten nach möglichst präzisen Anforderungen und erstelle daraus sowas wie ein Lastenheft. blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.