Jump to content
Attack44

ThinClient Terminalserver SmartCard Problem

Recommended Posts

Hallo,

wir haben hier einen Terminalserver (2012 R2) wo die Benutzer auch mit DATEV arbeiten. Aktuell haben die Benutzer noch normale Windows 10 Clients wo dann nur eine RDP Sitzung geöffnet wird.


Zudem haben die Benutzer eine "DATEV mIDentity compact" SmartCard welche sie für Datev benötigen. Aktuell wird die SmartCard in die RDP Sitzung durchgereicht und es funktioniert alles ohne Probleme.

Nun wollten wir aber langsam auch in der Buchhaltung auf ThinClients umsteigen und da haben wir nun ein Problem mit der Datev SmartCard. Wenn sich nun der Benutzer über den ThinClient am Terminalserver anmeldet, wird auch die SmartCard durchgereicht, sprich ich sehe sie unter Geräte-Manager und Geräte und Drucker und alles ohne Ausrufezeichen oder sonst was, aber Datev wiederum sagt das er keine SmartCard finden kann.

 

Zuerst kam natürlich die Vermutung auf, dass es am ThinClinet liegt, da es ja sonst bei den W10 Clients ohne Probleme Funktioniert. Aber das komische ist ja, die SmartCard wird ja korrekt in Windows angezeigt.


Wenn ich mich jetzt aber als Administrator auf den ThinClient anmelde und eine Sitzung zum Terminalserver aufbaue funktioniert die SmartCard auch in Datev, also Datev zeigt mir alle Daten auf der SmartCard an.

Nach weiterer Recherche bin ich auf folgende Fehlermeldung gestoßen, wenn man sich als Benutzer über den ThinClient anmeldet (siehe Anhang).

 

Kann das vielleicht ein Rechteproblem sein?

 

Gruß
Andreas

smartcard_602.PNG

Share this post


Link to post
Share on other sites

Hallo

 

Das sieht sehr nach einem Rechteproblem aus. Auf den Win 10-Clients wird diese Smart Card als Windows-Systemdienst eingerichtet, der ThinClient reicht aber nur ein schlichtes USB-Gerät mit Standarduserrechten durch. Welcher ThinClient ist denn im Einsatz?

 

Kenne mich mit Datev und Terminalservices leider nicht aus. Daher nur diese grundsätzlichen Infos.  :ohje2:

 

VG

Damian

Share this post


Link to post
Share on other sites

Wir haben hier Igel UD2 ThinClients im Einsatz.

 

RemoteFX ist auch aktiviert, sprich die Weiterleitung von normalen USB-Sticks und Scannern und Kameras funktioniert auch bei normalen Benutzern.

 

Gruß

Andreas

Share this post


Link to post
Share on other sites

Und mit welchen Berechtigungen werden die Datev Smart Cards auf dem Win 10-Clients angesprochen? Dort wird der Fehler liegen. Schau Dir die Einstellungen auf Win 10 an, so müssen sie auch auf dem Terminalserver aussehen.

 

VG

Damian

Share this post


Link to post
Share on other sites

Wie meinst Du das genau? Die Sticks/SmartCards haben bei uns keine speziellen Berechtigungen an den Clients bekommen, es wurde nur in der RDP Datei eingestellt, dass SmartCards weitergeleitet werden sollen.

 

Gruß

Andreas

Share this post


Link to post
Share on other sites

Bisher wurden die Smart Cards lokal unter Win 10 eingebunden und verifiziert. Jetzt läuft die entsprechende Applikation auf dem Terminalserver. Bedeutet, das Einbinden und Verifizieren findet dort statt. Du hast ja bereits zu Beginn geschrieben, das Du als Admin ohne Probleme damit arbeiten kannst. Überprüfe auf dem Terminalserver die Berechtigungen für den Zugriff auf die Smart Card. Notfalls nochmal die Doku zur Hand nehmen und durcharbeiten. ;-)

 

VG

Damian

Share this post


Link to post
Share on other sites

Auf dem ThinClient muss das Sicherheitspaket installiert sein. Aktuell ist ide Version 6.1, Igel bietet meines Wissens eine Anpassung mit der das Sicherheitspaket (compact) lokal eingebunden wird.

Das Sicherheitspaket sorgt für die DATEV spezifische Durchleitung der SmartCard zum TerminalServer.

Share this post


Link to post
Share on other sites

Hi,

vor 11 Minuten schrieb muenster:

Auf dem ThinClient muss das Sicherheitspaket installiert sein.

in einer Terminalserverumgebung genügt es den Treiber des mIDentitys bzw. des SmartCard-Lesers auf dem Client zu installieren.

 

Gruß

Jan

Share this post


Link to post
Share on other sites
vor 32 Minuten schrieb muenster:

Auf dem ThinClient muss das Sicherheitspaket installiert sein. Aktuell ist ide Version 6.1, Igel bietet meines Wissens eine Anpassung mit der das Sicherheitspaket (compact) lokal eingebunden wird.

Das Sicherheitspaket sorgt für die DATEV spezifische Durchleitung der SmartCard zum TerminalServer.

Hast Du dazu nähere Infos? Wir hatten das jetzt mal weiter getestet, auf den Datev Terminalserver ist das Sicherheitspaket 6.1 installiert und probeweise haben wir hier ein Terminalserver mit 2016 mit dem Sicherheitspaket compact 6.41 versehen. Dort wird jetzt zumindest die Datev Smartcart ohne Probleme erkannt.

 

Gruß

Andreas

Share this post


Link to post
Share on other sites

Das SiPa 6.41 kann schon installiert werden, muss aber noch nicht (der Zwang kommt noch).

Im Netz hast Du üblicherweise ein Betriebsstätten MIdentity als Lizenzverifizierung (hängt da, wo der LiMa läuft).

Die SmartCard ist Userbezogen und wird am Client gesteckt, das lokale SiPa sorgt jetzt im WTS Betrieb dafür, dass die SmartCard in die richtige Sitzung eingesteuert wird. Das SiPa baut dazu einen eigenen Protokollstack zum TS auf.

Die Igel laufen auf Linux, DATEV versteht nur MS (hätt fast DOS angehängt), also muss das SiPa auf dem Igel min. die 6.1 haben. Wie Igel nundas SiPa in Linux einbettet kann ich nicht sagen. Hier liegt der Unterschied zum Win10 Client, das SiPa ist installiert und gut ist.

Häng Dich mal in die Igel Verwaltung rein und zieh das SiPa auf die 6.1.

 

https://www.datev.de/dnlexom/client/app/index.html#/document/0908593

 

Hier findest Du noch ein paar Infos zum Igel und DATEV.

  • Thanks 2

Share this post


Link to post
Share on other sites

Ich habe das Problem nun gelöst bekommen, an den IGEL Thin-Clients müssen für die Datev Smartcards die Middleware auf "OpenSC" eingestellt sein und die Smartcards dürfen nicht in die RDP-Sitzung weitergeleitet werden. Sprich ich habe die USB-Weiterleitung für Smartcards deaktiviert. Nun werden sie ohne jegliche Fehler erkannt und das auch bei 2012R2.

 

Gruß

Andreas

smartCard.PNG

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...