6
Authentifizierung in Active Directory mitteld RFID-Karte
Anmeldung von AD-Benutzern an AD-Clients mittels vorhandener RFID-Karte
Liebe Kolleginnen,
Liebe Kollegen,
wir nutzen ein Netzwerk mit ca. 200 Clients und 300 Nutzern in einem Active Directory.
Unsere Domänencontroler sind alle mit MS Windows Server 2008 R2 ausgestattet.
Derzeit melden sich alle unsere Benutzer mittels Benutzername + Passwort an den Clients an. Da bei uns jedoch sehr häufig Benutzerwechsel, sowie das Anmelden an an das Active Directory gekoppelte Kopierer, notwendig sind, wollte ich das ganze vereinfachen. Jeder unserer Mitarbeiter besitzt einen Mitarbeiterausweis, eine Plastikkarte mit integriertem RFID-Chip. Diese Karte wollte ich jetzt nutzen, um eine Anmeldung am System zu ermöglichen.
Mir stellt sich daher die Frage, wie ich die RFID-Karten zur Anmeldung nutzen kann, vorrausgesetzt ich statte jeden PC mit einem Kartenlesegerät aus. Gibt es eine Möglichkeit, das ActiveDirectory so zu gestalten, das ich einem AD-Benutzer, eine RDIF-Karte zuweise und sich dieser Benutzer daher in Zukunft mittels Benutzername + Passwort, sowie mittels seiner RFID-Karte anmelden kann?
Für Tipps wäre ich sehr Dankbar,
ein schönes WE,
Boris
Liebe Kollegen,
wir nutzen ein Netzwerk mit ca. 200 Clients und 300 Nutzern in einem Active Directory.
Unsere Domänencontroler sind alle mit MS Windows Server 2008 R2 ausgestattet.
Derzeit melden sich alle unsere Benutzer mittels Benutzername + Passwort an den Clients an. Da bei uns jedoch sehr häufig Benutzerwechsel, sowie das Anmelden an an das Active Directory gekoppelte Kopierer, notwendig sind, wollte ich das ganze vereinfachen. Jeder unserer Mitarbeiter besitzt einen Mitarbeiterausweis, eine Plastikkarte mit integriertem RFID-Chip. Diese Karte wollte ich jetzt nutzen, um eine Anmeldung am System zu ermöglichen.
Mir stellt sich daher die Frage, wie ich die RFID-Karten zur Anmeldung nutzen kann, vorrausgesetzt ich statte jeden PC mit einem Kartenlesegerät aus. Gibt es eine Möglichkeit, das ActiveDirectory so zu gestalten, das ich einem AD-Benutzer, eine RDIF-Karte zuweise und sich dieser Benutzer daher in Zukunft mittels Benutzername + Passwort, sowie mittels seiner RFID-Karte anmelden kann?
Für Tipps wäre ich sehr Dankbar,
ein schönes WE,
Boris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172152
Url: https://administrator.de/contentid/172152
Printed on: April 20, 2024 at 01:04 o'clock
6 Comments
Latest comment
Es ist möglich, aber mit einer Wahrscheinlichkeit von 90% nicht mit den vorhandenen Karten.
Es gibt seit Windows 2000, sprich mit der Einführung des Active Directory, die Möglichkeit der SmartCard-Authentifizierung. Und es gibt kontaktlose Prozessorchipkarten, sprich SmartCards. Sprich du erzeugst für jeden Mitarbeiter ein Zertifikat, hinterlegst dieses auf der SmartCard und der Benutzer kann sich damit anmelden. Windows ist es dabei egal, ob es eine kontaktbehaftete oder eine kontaktlose Karte ist. Diese SmartCards arbeiten normal im Bereich von 13,56MHz.
Die Karten, die ihr als Mitarbeiterausweise nutzt sind mit der bereits erwähnten Wahrscheinlichkeit von 90% Speicherkarten auf Basis der EM4102 oder Mifare-Technik. Auf diesen Karten ist nur eine einmalige ID, angeblich weltweit einzigartig, hinterlegt, welche einfach nur ausgelesen wird. Damit sind diese nicht für eine SmartCard-Auth. einsetzbar, da die benötigte kryptographische Intelligenz fehlt.
Es gibt eine Möglichkeit, das würde aber einen kompletten Tausch der Karten erfordern. Es gibt Combo-Karten, welche eine kontaktbehaftete Prozessorchipkarte gleichzeitig aber auch einen EM4102 oder Mifare-Chip besitzen.
Es gibt seit Windows 2000, sprich mit der Einführung des Active Directory, die Möglichkeit der SmartCard-Authentifizierung. Und es gibt kontaktlose Prozessorchipkarten, sprich SmartCards. Sprich du erzeugst für jeden Mitarbeiter ein Zertifikat, hinterlegst dieses auf der SmartCard und der Benutzer kann sich damit anmelden. Windows ist es dabei egal, ob es eine kontaktbehaftete oder eine kontaktlose Karte ist. Diese SmartCards arbeiten normal im Bereich von 13,56MHz.
Die Karten, die ihr als Mitarbeiterausweise nutzt sind mit der bereits erwähnten Wahrscheinlichkeit von 90% Speicherkarten auf Basis der EM4102 oder Mifare-Technik. Auf diesen Karten ist nur eine einmalige ID, angeblich weltweit einzigartig, hinterlegt, welche einfach nur ausgelesen wird. Damit sind diese nicht für eine SmartCard-Auth. einsetzbar, da die benötigte kryptographische Intelligenz fehlt.
Es gibt eine Möglichkeit, das würde aber einen kompletten Tausch der Karten erfordern. Es gibt Combo-Karten, welche eine kontaktbehaftete Prozessorchipkarte gleichzeitig aber auch einen EM4102 oder Mifare-Chip besitzen.
Und Du solltest bedenken, dass Du mit so einem System die Karte identifizierst und nicht die Person.
Wer die Karte hat, hat die "Macht".
Man sollte so ein Systen nur in Verbindung mit einem PIN oder Kennwort einsetzen und dann steltl sich die Frage ob es dann noch eine Erleichterung ist. Es ersetzt ja quasi nur den Benutuzernamen.
Stefan
Wer die Karte hat, hat die "Macht".
Man sollte so ein Systen nur in Verbindung mit einem PIN oder Kennwort einsetzen und dann steltl sich die Frage ob es dann noch eine Erleichterung ist. Es ersetzt ja quasi nur den Benutuzernamen.
Stefan
Das System ist schon sicherer, da es sich um eine 2-Factor-Auth. handelt. SmartCards sind auch mit einer PIN versehen, dadurch wird der Missbrauch verhindert. Es vereinfacht aber einiges, weil die PIN nur fünf nummerische Zeichen hat und nicht so häufig geändert werden muss wie ein Passwort, wobei das Passwort alphanummerisch mit Sonderzeichen sein und häufig geändert werden muss, damit das System sicher ist. Bei einer SmartCard muss man erstmal die Karte haben, um überhaupt einen Schritt weiter zu kommen.
Na, das ist doch mal eine kreative Wortschöpfung.
Okay...
Vorweg ersteinmal vielen Dank für die Antworten. Wirklich weiter bin ich jedoch nicht nicht.
Das eine Anmeldung ohne Pin, lediglich durch auflegen einer Karte, ein Sicherheitsrisiko darstellt, dessen bin ich mir bewusst, die Anforderungen kommen jedoch von übergeordneter Stelle und schon sind wir bei meinem Problem:
Wir haben als Ausgangsvoraussetzung Clients mit Windows 7,
RFID-Karten mit vorinstalliertem Zertifikat
Kartenlesegeräte der Firma Kobil.
Das Ziel ist nun, das bisher auf der Karte vorhandene Zertifikat bei zu behalten und quasi mit den bisher vorhandenen AD-Konten zu verknüpfen (ggf. manuell).
Einen Zugriff (zwecks abfrage) zu der Zertifikataustellenden Stelle haben wir leider nicht.
Ist hier etwas machbar, oder handelt es sich hierbei um einen hoffnungslosen Fall?
Viele Grüße,
Boris
Vorweg ersteinmal vielen Dank für die Antworten. Wirklich weiter bin ich jedoch nicht nicht.
Das eine Anmeldung ohne Pin, lediglich durch auflegen einer Karte, ein Sicherheitsrisiko darstellt, dessen bin ich mir bewusst, die Anforderungen kommen jedoch von übergeordneter Stelle und schon sind wir bei meinem Problem:
Wir haben als Ausgangsvoraussetzung Clients mit Windows 7,
RFID-Karten mit vorinstalliertem Zertifikat
Kartenlesegeräte der Firma Kobil.
Das Ziel ist nun, das bisher auf der Karte vorhandene Zertifikat bei zu behalten und quasi mit den bisher vorhandenen AD-Konten zu verknüpfen (ggf. manuell).
Einen Zugriff (zwecks abfrage) zu der Zertifikataustellenden Stelle haben wir leider nicht.
Ist hier etwas machbar, oder handelt es sich hierbei um einen hoffnungslosen Fall?
Viele Grüße,
Boris
