christophorus 11 Posted April 14, 2006 Report Share Posted April 14, 2006 Hallo Zusammen, habe leider ein großes Problem und hoffe sehr das jemand einen Tip für mich hat. Habe ein Virtuelles Projekt und dieses soll beinhaltet folgendes: Stand der Dinge: Win 2003 Terminalserver vorhanden User eingerichtet Problemstellung: Ist es möglich den Terminalserver so einzurichten das die Anmeldung nur per Zertifikat möglich ist? Jedoch so dass ich z..B das Zertifikat oder änliches auf einen USB Stick spielen kann und wenn z.B über RDP eine Verbindung hergestellt wird, nach diesem Zertifikat gefragt wird? Am optimalsten wäre es wenn sich der User mit seienm USB Stick nur als der eine User Anmelden könnte also wie ein Ausweis praktisch. Hab eich da irgend eine Chance? Kennt jemand ein Tutorial für mich oder hat jemand einen Tip wie weit ich da gehen kann? Ist es dann auch ausreichend die Integrierte SSl Verbindung von RDP zu benutzen? (SSL3.0) Ok, das waren ja einige Fragen, hoffe jamand hat eine Idee :-) Schöne Grüße ChriZ Quote Link to comment
snake99 13 Posted April 15, 2006 Report Share Posted April 15, 2006 Hi, was willst du denn durch den Einsatz des Zertifikates erreichen? Melden sich die User übers LAN oder WAN an? Quote Link to comment
grizzly999 11 Posted April 15, 2006 Report Share Posted April 15, 2006 Wenn der Hersteller des Tokens keine Erweiterung dafür anbietet, denke ich nicht dass das geht. Microsoft bietet nur die Anmeldung über Smartcard an (bei 2003 TS) grizzly999 Quote Link to comment
christophorus 11 Posted April 15, 2006 Author Report Share Posted April 15, 2006 Hallo, also die User melden sich sowohl über LAN als auch über WAN an. Ziel ist es einfach die Security so hoch wie möglich zu setzten. Dies soll jedoch ohne viel Aufwand für dne User passieren. ( als nix mit Putty SSH Tunnel und so ) Wenn ich ein Schlüssel auf einen USB Stick bringen würde, habe ich ein Art elektronischen Ausweis für den user. Auch wenn ich Ihn nicht direkt damit anmelden könnte, so hätte ich die Beruhigung das niemand ohne diesen Schlüssel sich am TM Server anmelden kann. Es muss doch irgendwie machbar sein. Die Smart CVard Funktion ist ja schon in diese Richtung gedacht, nur st es nicht gerade sinnvoll jedes mla eine SmartCard -Leser mit sich rumzutragen. USB ist heute in fast jedem PC vorhanden und wäre deswegen sinnvoller. Könnte ihr mir, fals das alles nicht geht, eienn Tip geben wie Ihr einen Terminalserver absichern würdet der über WAN erreichbar sein muss? Wäre super, danke schön Quote Link to comment
grizzly999 11 Posted April 15, 2006 Report Share Posted April 15, 2006 Es muss doch irgendwie machbar sein Ja, ist machbar. Setze einen CITRIX Server mit Presentation Server ein. Da gibt es diverse Token-Lösungen dafür. ... nur st es nicht gerade sinnvoll jedes mla eine SmartCard -Leser mit sich rumzutragen Dafür ist der Presentation Server gedahct, von überall her mit Port 80 bzw. 443 zugreifen. Mit Microsoft Mitteln ist das nicht machbar, außer mit Smartcard. grizzly999 Quote Link to comment
IThome 10 Posted April 15, 2006 Report Share Posted April 15, 2006 Vielleicht doch ein VPN-Tunnel und in den via CMAK konfigurierten DFÜ-Eintrag für die Clients eine benutzerdefinierte Aktion durchführen lassen und eine RDP-Verbindungsdatei integrieren ?! edit: oder ein VPN mit einem Gerät wie Watchguard oder Bintec. Dazu wird ein spezieller Client auf dem externen Gerät installiert, welches den Tunnel automatisch herstellt (vorher hergestellte Internetverbindung vorausgesetzt), wenn der interne Terminalserver via RDP-Client angesprochen wird ... Quote Link to comment
christophorus 11 Posted April 15, 2006 Author Report Share Posted April 15, 2006 Muss schon sagen das es ein ziemliches Armutszeugniss ist in dieser Richtung nichts getan zu haben. Citrix ist natürlich eine extrem teure Alternative die sich für 3 Arbeitsplätze kaum trägt. VPN Verbindung ist ja halt auch nicht das gelbe vom Ei, ist eben auch nur eine Benutzername und Kennwort gesicherte Lösung. Die Verbindung selber dann sicher zu gestallten ist natürlich mit Zertifikatsdienst relativ einfach, die Authentifizierung ist jedoch ein ziemlicher Schwachpunkt oder sehe ich das flasch ? Quote Link to comment
IThome 10 Posted April 15, 2006 Report Share Posted April 15, 2006 Auch ein VPN kann mit einem Zertifikat abgesichert werden, sowohl die Windowslösung als auch die Hardware-Appliance Lösung ... Quote Link to comment
mister2x 10 Posted April 15, 2006 Report Share Posted April 15, 2006 Sieh dir beispielsweise mal das "Gem e-Seal" der Fa. Gemplus an - das ist ein USB-Token mit integrierter Smartcard (in der Grösse eines USB-Sticks). Funktioniert unter anderem für die Authentifizierung an Cisco Routern (VPN) und an MS Terminal Server (beides getestet). Quote Link to comment
Tobikom 10 Posted April 15, 2006 Report Share Posted April 15, 2006 Hallo, Muss schon sagen das es ein ziemliches Armutszeugniss ist in dieser Richtung nichts getan zu haben. Beziehst du das auf Microsoft? Auch Microsoft kann nicht alles. Im Bereich Tokenauthentifizierung gibt ja auch Firmen die das schon Jahrelang mit Erfolg herstellen. Siehe RSA oder auch Kobil. Zudem konnte ich noch nicht ganz herauslesen wie du die Verbindung zum TS aufbauen möchtest. Von privaten/öffentlichen PCs über das Internet? Der Große Voteil eines Tokens ist ja die unabhängigkeit vom System, es werden keinerlei Anschlüsse am System benötig. Sicherheit ist natürlich nicht billig. Die Frage was für einen Aufwand man für 3 Benutzer machen muß. Würde da nicht ein Sicheres Kennwort welches regelmäßig geändert werden muß reichen ? Grüße Tobias Quote Link to comment
christophorus 11 Posted April 21, 2006 Author Report Share Posted April 21, 2006 Hallo Tobias, die Anforderung ist ehr in die Richtung unabhängigkeit vom System und Standort gelegt. Am optimalsten wäre eine Browserbasierende RDC verbindung. So gelange ich von überall und jederzeit zu Anmeldung. Diese sollte dann idealerweise über benutzername, Kennwort und ein Privaten Schlüssel auf einem USB Stick oder Smartcard abgesichert sein. Natürlich ist die RDC Verbindung im ersten Step schon SSL 3.0 abgesichert. Das bringt ja Microsoft bereits relativ problemlos mit. Was haltet Ihr von solchen Lösung? Quote Link to comment
Tobikom 10 Posted April 22, 2006 Report Share Posted April 22, 2006 Hallo, ok wenn es dir um die Unanhängigkeit geht, sind aber Smartcard und USB-Stick nicht gerade die richtige Lösung. Da bist du wieder abhängig von Bestimmten Lesern und Schnittstellen. Wie schon gesagt wäre da die allerbeste Lösung eine Tokenauthentifizierung. Mit der entsprechenden Firewall lässt sich wunderbar eine ensprechende Authentifizierung vorschalten. So da nur user mit Token, Benutzer und Kennwort überhaupt erst zur Terminalservermaske kommen. EDIT: Wenn du das ganze gerne über eine Browserverbindung machen möchtest ist die Sicherung mit SmartCards ziemlich schlecht. Grüße Tobias Quote Link to comment
christophorus 11 Posted April 25, 2006 Author Report Share Posted April 25, 2006 Hmm, was würdest du da konkret empfehlen als Lösung? ein paar Links oder vieleicht Tutorials würde mir schon sehr weiterhelfen. Vielen dank auf jeden Fall für deine Antwort Quote Link to comment
mriess 10 Posted April 25, 2006 Report Share Posted April 25, 2006 Wir haben einen Citrix Secure Gateway im Einsatz. Habe ich gerade mit Tokens (Einmalpassworten der Fa. Secure Computing ausgestattet - Produkt Safeword) ausgestattet. User können sich von überall per Webbrowser einloggen, aber halt nur die, die auch den Token haben. Und dann mache ich eigentlich nur ungern eine RDP-Verbindung. Nicht sehr performant und unschön. Macht Citrix mit Java, oder Ica-Client, oder Active-X, oder Plugin (reicht das?) schöner! Gruß mriess Quote Link to comment
christophorus 11 Posted April 25, 2006 Author Report Share Posted April 25, 2006 Wir haben einen Citrix Secure Gateway im Einsatz. Habe ich gerade mit Tokens (Einmalpassworten der Fa. Secure Computing ausgestattet - Produkt Safeword) ausgestattet. User können sich von überall per Webbrowser einloggen, aber halt nur die, die auch den Token haben. Und dann mache ich eigentlich nur ungern eine RDP-Verbindung. Nicht sehr performant und unschön.Macht Citrix mit Java, oder Ica-Client, oder Active-X, oder Plugin (reicht das?) schöner! Gruß mriess Klar würde das reichen.... Das Citrix die bessere Lösung in dem Bereich bietet steht denkne ich ausser Frage. Das Thema ist hier nur, dass es relativ Kostenintensiv ist. Ich möchte versuchen einfach eine Lösung zu finden die Sicher jedoch relativ preiswert ist. Da bieten sich natürlich die Microsoft Boardmittel gerade zu an. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.