ToMMMeK 10 Geschrieben 12. März 2012 Melden Teilen Geschrieben 12. März 2012 Guten Morgen liebe Gemeinde, aktuell befinde ich mich im 3. Lehrjahr meiner Ausbildung zum Fachinformatiker (FR Systemintegration). Ausbildungsstelle ist die Hochschule Hannover. Im Rahmen meines Abschlussprojekts muss ich nun eine Smartcard-Authentifizierungsmethode zwecks Domänenanmeldung prüfen und implementieren. Mein Projekt beschränkt sich zunächst (glücklicherweise nur) auf folgendes Szenario: Gäste der Bibliothek, welche kein Benutzerkonto in der hiesigen Domäne besitzen, sollen eine Möglichkeit erhalten die PC-, Drucker- und Kopiersysteme in den Räumlichkeiten der Bibliothek nutzen zu können. Hierfür sollen entsprechende Smartcards erzeugt werden, welche gegen Pfand herausgegeben werden und letztendlich den Zugang zu den Systemen ermöglichen. Da man nur für Gäste jedoch keinen so großen Aufwand betreiben möchte, soll die Lösung erweiterbar sein, sodass in Zukunft weitere mögliche Einsatzbereiche (Stichwort "Citrix XenDesktop") mit der Smartcard-Methode abgesichert und zugänglich gemacht werden können. Darüber hinaus soll geprüft werden, ob sich unsere FHHCard für einen solchen Einsatzzweck eignet, um nicht zusätzliche Chipkarten kaufen zu müssen. Folgendes ist bereits vorhanden: - DC (WS2003 R2) - Zertifizierungsstelle / CA - Print-Server (WS2003 R2 inkl. Abrechnungssoftware "Pcounter") - Citrix XenServer + Provisioning Server + XenApp + XenDesktop - W7-Clients + Igel Thin Clients (Linux Embedded) - FHHCard (Mifare DESFire) - Kartenmanagementsystem Die FHHCard auf Basis des Mifare DESFire Chips ist eine personalisierte, multifunktionale Chipkarte, welche bereits für unterschiedliche Zwecke genutzt wird (u.a. Zeiterfassung, Zutritt, bezahlen in der Mensa, Authentifizierung an den Kopiergeräten). Nun zu meinem Anliegen: - Was benötige ich für eine Umsetzung des Projekts neben den bereits existierenden Systemen noch? - Wäre es realisierbar die bestehenden Chipkarten mit den nötigen Settings zwecks Smartcard-Funktion zu erweitern? - Hat jemand schonmal Erfahrungen sammeln können was Igel Thin Clients in Kombination mit der "Igel Smartcard" anbelangt? Sofern Igel externe Lesegeräte im Portfolio hat, welche die Mifare DESFire Karten "verstehen", käme eine solche Lösung auf jeden Fall in Frage (siehe "Ihre Vorteile" unter dem oben aufgeführten Link). Ich verstehe die Igel Lösung als eine Art "Out-of-the-box" Produkt, welches auf Basis der (hoffentlich) existierenden Dokumentation relativ leicht zu implementieren ist... LG und vielen Dank schonmal ToMMMeK Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. März 2012 Melden Teilen Geschrieben 12. März 2012 Hallo, Für die Infrastruktur: - Was ist das für eine CA? - Welches CMS - kann das CMS mit deiner CA umgehen? Mifare DESfire ist lt. Netz der RFID-Chip. Du brauchst nen Cryptochip auf der Karte, wenn die Anmeldung über Zertifikate ablaufen soll. Diesen Chip, samt Kartenbetriebssystem, müssen dann die Leser "verstehen", nicht die RFID-Antenne. Domänenanmeldung mit Smartcards ist keine ganz einfache Geschichte. Da muss man m.E. ein Projekt aufsetzen und mit Projektwerkzeugen arbeiten. Denk auch an die Prozesse: Was passiert, wenn ein Benutzer sein Karte vergisst, verliert,... Wie behandelt ihr PINs. .... blub Zitieren Link zu diesem Kommentar
wiri 10 Geschrieben 12. März 2012 Melden Teilen Geschrieben 12. März 2012 Hi ich kann mich nur BLUB anschliessen. Wir selber hatten für uns und dann einen Kunden ne USBStick Securelösung im Einsatz. Es gab Probleme in Ablauf wenn jemand seinen Stick zu Hause liegengelassen hatte oder gar verloren hatte. Dann war nämlich kein Zugriff, außer man trug ihn aus der Notwendigkeit von der Benutzung des USB aus, was aber nicht zielführend ist. Fazit war am Ende, durch die Proteste der User vom Außendienstler bis zum GF ging diese Lösung wieder aus dem System raus und es war alles wie zuvor. Zitieren Link zu diesem Kommentar
ToMMMeK 10 Geschrieben 12. März 2012 Autor Melden Teilen Geschrieben 12. März 2012 - Was ist das für eine CA? - Welches CMS - kann das CMS mit deiner CA umgehen? - Firmeneigene CA (oder was genau wolltest du wissen?) - InterCard Card Management System - zu drittens: Das weiß ich (noch) nicht -> zuständiger Kollege wurde kontaktiert Mifare DESfire ist lt. Netz der RFID-Chip. Du brauchst nen Cryptochip auf der Karte, wenn die Anmeldung über Zertifikate ablaufen soll. Diesen Chip, samt Kartenbetriebssystem, müssen dann die Leser "verstehen", nicht die RFID-Antenne. Aus einer Infomail bezüglich der Dienstausweise geht hervor, dass "ein eigenständiger Kryptoprozessor für hochgradig verschlüsselte Datenübertragungen zum Einsatz kommt". Demnach scheint der Cryptochip wohl vorhanden zu sein?! (Ich habe soeben ein Whitepaper mit den genauen Kartenspezifikationen beantragt, mal schauen ob was zurück kommt... ) PS: Ginge denn auch eine Anmeldung mittels Smartcards, die unabhängig von Zertifikaten ist? .. Wohl kaum, oder? Denk auch an die Prozesse: Was passiert, wenn ein Benutzer sein Karte vergisst, verliert,... Wie behandelt ihr PINs. .... Ich bin nur die ausführende Kraft, das Nachdenken über solche Prozessabläufe ist den Chefs überlassen :) Bis eine Authentifizierung mittels Smartcards in den anderen Abteilungen Einzug erhält, bedarf es zunächst einer funktionierenden Lösung (die ich aktuell versuche zu ermitteln). Alles weitere liegt noch in weiter Ferne. Jetzt gilt es den Stein zunächst in's Rollen zu bringen. Mein Abschlussprojekt soll letztendlich nur als Einstieg in die gesamte Thematik dienen... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. März 2012 Melden Teilen Geschrieben 12. März 2012 - Firmeneigene CA (oder was genau wolltest du wissen?) z.B. Microsoft - ADintegriert oder eigenständig / extern o. intern / zertifiziert von der Bundesnetzagentur etc. etc Jede Konstellation hat ihre Vor- und Nachteile - InterCard Card Management System. Manche CMS können nur mit MS-CA, manche gerade nicht mit MS-CA . Dieses CMS kenne ich aber nicht. Aus einer Infomail bezüglich der Dienstausweise geht hervor, dass "ein eigenständiger Kryptoprozessor für hochgradig verschlüsselte Datenübertragungen zum Einsatz kommt". Demnach scheint der Cryptochip wohl vorhanden zu sein?! (Ich habe soeben ein Whitepaper mit den genauen Kartenspezifikationen beantragt, mal schauen ob was zurück kommt... ) Frag mal nach dem Kartenbetriebssystem Java/Starcos / Seccos /Filebasiert .. PS: Ginge denn auch eine Anmeldung mittels Smartcards, die unabhängig von Zertifikaten ist? .. Wohl kaum, oder? Doch, da gibts einige Anbieter, die dich z.b. über die Kartennummer und nicht über Zertifikate authentisieren. Ich bin nur die ausführende Kraft, das Nachdenken über solche Prozessabläufe ist den Chefs überlassen :) Bis eine Authentifizierung mittels Smartcards in den anderen Abteilungen Einzug erhält, bedarf es zunächst einer funktionierenden Lösung (die ich aktuell versuche zu ermitteln). Alles weitere liegt noch in weiter Ferne. Jetzt gilt es den Stein zunächst in's Rollen zu bringen. Mein Abschlussprojekt soll letztendlich nur als Einstieg in die gesamte Thematik dienen... So ist leider schon oft viel gute Arbeitskraft in den Sand gesetzt worden. Mein Tipp, such dir in deiner Umgebung einen erfahrenen Projektleiter und unterhalte dich mit dem mal ne gute Stunde, wie er ein solches Vorhaben angehen würde. Nimm deine Vorstellungen/ Ziele dazu mit, wo siehst du die größten Schwierigkeiten, mach einen groben Zeitplan mit Meilensteinen, grobe Kosten, etc. etc. blub Zitieren Link zu diesem Kommentar
ToMMMeK 10 Geschrieben 12. März 2012 Autor Melden Teilen Geschrieben 12. März 2012 Hi ich kann mich nur BLUB anschliessen. Wir selber hatten für uns und dann einen Kunden ne USBStick Securelösung im Einsatz. Es gab Probleme in Ablauf wenn jemand seinen Stick zu Hause liegengelassen hatte oder gar verloren hatte. Dann war nämlich kein Zugriff, außer man trug ihn aus der Notwendigkeit von der Benutzung des USB aus, was aber nicht zielführend ist. Fazit war am Ende, durch die Proteste der User vom Außendienstler bis zum GF ging diese Lösung wieder aus dem System raus und es war alles wie zuvor. Hätte man nicht sämtliche Konfigurationen jedes einzelnen USB-Tokens abspeichern und an einem sicheren Ort ablegen können? Sodass in so einem Fall (vergessen) eine exakte Kopie des entsprechenden USB-Tokens temporär generiert werden könnte? Oder stelle ich mir das zu einfach vor?! .. Wie gesagt: In diesem Fall soll lediglich eine Möglichkeit erarbeitet werden, mit der Gäste sich an den Systemen in der Bibliothek authentifizieren können, um Zugriff auf diverse Services zu erhalten. Die Smartcard samt zugehöriger PIN würden die dann gegen Abgabe eines Pfands ausgehändigt bekommen. Ein globaler Einsatz u.a. für unsere Mitarbeiter ist (noch) nicht vorgesehen. Zitieren Link zu diesem Kommentar
ToMMMeK 10 Geschrieben 12. März 2012 Autor Melden Teilen Geschrieben 12. März 2012 Doch, da gibts einige Anbieter, die dich z.b. über die Kartennummer und nicht über Zertifikate authentisieren. Hast du hierzu zufällig weitere Informationen? Im Rahmen meiner Recherchen bin ich hierauf leider noch gar nicht gestoßen.. :-/ Hört sich auf jeden Fall sehr interessant an und könnte die ganze Angelegenheit vereinfachen... Was ich weiß ist, dass die Authentifizierung an unseren Kopiergeräten auf Basis der internen Kartennummern realisiert wird. Jeder einzelnen Karte wird vorab ein Benutzerkonto samt Passwort zugewiesen, anschließend ist eine Anmeldung am Kopiergerät durch Auflegen der Karte möglich. Eventuell wären unsere im Umlauf befindlichen Karten hierzu ja geeignet.. ? PS: Die offenen Punkte beantworte ich noch, ich warte momentan noch auf die nötigen Infos... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. März 2012 Melden Teilen Geschrieben 12. März 2012 (bearbeitet) Bei Bechtle hatte ich mir eine derartige Lösung mal angesehen. War eine Eigenentwicklung von denen. Evidian.de hat ebenfalls eine Lösung ohne eigene PKI im Protfolio. Problem fand ich, das das Lösungen waren, die sich an keine Standards gehalten haben. PS: Die offenen Punkte beantworte ich noch, ich warte momentan noch auf die nötigen Infos... Die Fragen sind mehr als Denksnstöße für dich gedacht, als das du die unbedingt beantworten musst bearbeitet 12. März 2012 von blub Zitieren Link zu diesem Kommentar
ToMMMeK 10 Geschrieben 20. März 2012 Autor Melden Teilen Geschrieben 20. März 2012 Ich bin's nochmal. Diesmal mit einigen Neuigkeiten. Ich habe die Tage nach weiteren Möglichkeiten gesucht, wie man mit Hilfe unserer bestehenden Chipkarten (Mifare DESFire EV1) eine Zwei-Faktor-Authentifizierung zwecks Domänenanmeldung realisieren könnte. Ich bin dabei auf eine Lösung von der Firma Identive Group (ehem. SCM Microsystems) namens "ConCERTO LOGON" gestoßen. Das ganze soll ganz leicht in bestehende IT-Infrastrukturen zu implementieren sein und bedarf keiner weiteren Hardware (bis auf die Lese- & Schreibgeräte und, sofern benötigt, entsprechende Chipkarten). Ich erhalte in Kürze eine Teststellung und probiere das Ganze mal aus. Auf jeden Fall würde mir hiermit dieser ganze undurchsichtige PKI- und Zertifikatskram erspart bleiben... Bei Interesse könnte ich ja meine Erfahrungen hierzu niederschreiben. LG - ToMMMeK Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 24. März 2012 Melden Teilen Geschrieben 24. März 2012 Auf jeden Fall würde mir hiermit dieser ganze undurchsichtige PKI- und Zertifikatskram erspart bleiben... Hallo, Nachteil ist bei einer solchen Lösung, dass du jenseits von anerkannten, herstellerübergreifenden Standards (X509, Kerberos, PKINIT, Cryptochips, Kartenbetriebssysteme etc.) unterwegs bist. In deiner Konstellation überleg mal folgendes und denke 2-3 Jahre nach Vorne: Bibliotheksgäste werden dann ihre eigenen Smartdevices (Pads) mitbringen und darüber gesichert ihre Tätigkeiten durchführen wollen. Hast du eine standardkonforme Lösung am Laufen, wirst du für diese neue Herausforderung sicher eine Erweiterung finden. Hast du auf die Sonderlocke eines speziellen Herstellers gestzt, wirds schwieriger bzw, du bist technisch und finanziell dann auf diesen Hersteller angewiesen. Nimms nur mal als Input. Sicher hat auch die von dir beschriebene Lösung etliche nette Features. blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.