Jump to content
Sign in to follow this  
TPok

Suche sichere Authentifizierungslösung für Multiuser-Produktionsumgebung (z.B. Smartcard)

Recommended Posts

Hallo,

 

ich bin auf der Suche nach einer sicheren Authentifizierungslösung für eine Multiuser-Produktionsumgebung. Ich denke da zum Beispiel an Smartcards, da User+Passwort, so wie Microsoft sich das denkt, nicht praktikabel ist. Generell wird es wohl mit Bordmitteln schwierig.

Im Folgenden eine kurze Beschreibung der Umgebung und Anforderungen. Vielleicht kennt ja einer einen Anbieter / ein Produkt / einen Ansprechpartner, der hier weiterhelfen kann. Ich bin für jeden Tipp dankbar.

 

Gegeben ist eine Produktionsumgebung mit einer Reihe von Prozessrechnern und Prüfsystemen. Alles ist Windows-basiert, die meisten Systeme sind Domain-joined. Die Systeme laufen während der Produktionszeit ununterbrochen mit der selben Windowsanmeldung durch, da die hierauf befindliche Software dies verlangt (kontinuierliche Prozessüberwachung, usw.). Eine Windows Nutzeran- und Abmeldung mit unterschiedlichen Konten ist nicht möglich. Allerdings wechselt das Bedienpersonal mehrfach täglich.

 

Folgende Ziele sollen umgesetzt werden:

  • Wenn gerade kein Bediener am PC arbeitet soll der PC (die Oberfläche) gesperrt sein.
  • Es gibt eine Gruppe berechtigte Bediener, die die Oberfläche entsperren können (z.B. durch Stecken Ihrer Smartcard). Dabei soll die Berechtigung abgeprüft werden und protokolliert werden, welcher Bediener wann am System gearbeitet hat.
  • Das ganze muss unabhängig von der (immer aktiven) Windowsanmeldung sein.
  • Es gibt mehrere solcher Systeme und man muss festlegen können, welcher Bediener, an welchen Systemen arbeiten darf.
  • Weitergehende granulare Berechtigungen (z.B. dass die Großzahl der Bediener das bereits angemeldete System nur entsperren darf und wenige Berechtigte auch das System initial anmelden und wieder herunterfahren dürfen) sind wünschenswert.

Das jetzige System, es ist immer ein Benutzer angemeldet und alle kennen das Passwort, ist verständlicherweise nicht zufriedenstellend.

 

Auf der einen Seite glaube ich, dass es mehrere Unternehmen mit diesen Herausforderungen gibt, auf der anderen Seite sind wir damit schon ein ganzes Stück vom Windows-Konzept entfernt. Ich hoffe, jemand hat schon mal etwas in dieser Art gesehen.

 

Danke für eure Unterstützung.

 

Gruß
Stephan

Share this post


Link to post
Share on other sites

Moin,

 

grundsätzlich liegt der Fehler im System hier natürlich nicht bei Microsoft, sondern bei dem Hersteller der Applikationen bzw. bei der Art, wie sie genutzt werden. Software der Art, wie du sie beschreibst, sollte als Dienst laufen und nicht in einer interaktiven User-Session. Dann würde sich das ganze Problem gar nicht stellen.

 

Spontan käme mir bei deinem Szenario aber Fast User Switching in den Sinn, d.h. das Bedienpersonal nutzt nicht die bestehende Session, sondern öffnet sich eigene parallel. Das sollte auch mit Smartcards funktionieren. Konkrete Erfahrungen habe ich damit aber nicht.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Hallo Nils,

 

ich stimme dir voll und ganz zu. Der Fehler liegt natürlich nicht bei Microsoft, sondern an dem Konzept, wenn ein P(ersonal)C(omputer) nicht mehr personal=persönlich genutzt wird.

 

Das, was ich hochtrabend als "Prozesssoftware" bezeichnet habe, kann auch ein einfaches Prüfprogramm sein, welches ein PC-basiertes Testsystem ansteuert. Da gibt es einen Einrichter, der fährt das System hoch, lädt die benötigte Software, stellt Konfigurationen ein, weißt die Funktionsfähigkeit an einem Prüfmuster nach und gibt den Arbeitsplatz dann so mit Unterschrift frei. Danach müssen Werker daran arbeiten (auch mehrere nacheinander in mehreren Schichten). Ein Abmelden / Umloggen / etc. ist hier kontraproduktiv und nicht erwünscht, da damit der eingerichtete Zustand des Arbeitsplatzes zunichte gemacht wird. Fast-User-Switching löst diese Problem leider nicht.

Solange ein Werker an dem Platz arbeitet, ist auch alles ok. Muss dieser aber mal Pipi  ;)  oder es gibt Leerlaufzeiten in der Produktion, soll der Platz aber vor Manipulation (durch einen bösen Paketboten oder so) gesperrt sein.

 

So ungewöhnlich ist diese Anforderungen in einem Produktionsunternehmen eigentlich nicht. Leider sind hier bloß auch immer mehr Produktionssysteme PC-basierend, obwohl das Gesamtsystem PC/Windows und die damit verbundenen Sicherheitskonzepte in diesem Umfeld oft konterkariert werden.

 

Gruß

Stephan

Edited by TPok

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...