binbash86
Goto Top

Automatischer PC-Login mit RFID-Token

Guten Tag,

ein Kunde von uns sucht nach folgender Lösung:

- Es soll RFID-Dongles (oder ähnlich) geben, mit denen sich die Leute am PC automatisch anmelden können
- Dabei soll der PC sich aber direkt mit dem richtigen AD-User anmelden


Der Kunde hat Terminalserver, das heisst ich muss dann noch eine automatische RDP-Anmeldung in den Anmeldeprozess einbauen. Hat jemand eine Idee dazu ? Vielen Dank

Content-Key: 1977234082

Url: https://administrator.de/contentid/1977234082

Printed on: June 19, 2024 at 11:06 o'clock

Member: StefanKittel
StefanKittel Feb 22, 2022 at 08:52:49 (UTC)
Goto Top
Moin,

z. B. die hier.
https://www.id-logon.com/

Stefan
Member: DerWoWusste
DerWoWusste Feb 22, 2022 at 09:02:51 (UTC)
Goto Top
Hi.

Mach Dir bitte klar, dass man dazu keine externe Software benötigt. Windows kann SmartCard-Authentifizierung schon von sich aus. In einer Domänen kannst Du eine interne CA einrichten und deren Zertifikate auf die SmartCards schreiben und damit dann bei Windows anmelden (auch bei RDP-Nutzung möglich).

Dabei wird normalerweise eine PIN einzugeben sein (SmartCard in den Leser stecken, PIN eingeben, schwupps angemeldet)- möchtest Du das nicht, oder was meinst Du mit "automatisch"?
Member: binBash86
binBash86 Feb 22, 2022 at 09:06:37 (UTC)
Goto Top
Ja, die Herausforderung ist, dass die User zu 100% auf dem Terminalserver arbeiten. Der Kunde stellt sich vor, dass die Mitarbeiter ihren Token/Chip vor den Leser halten und dann zack am Terminalserver angemeldet sind. Die Frage ist, ob das realistisch ist.
Member: DerWoWusste
DerWoWusste Feb 22, 2022 at 09:10:35 (UTC)
Goto Top
Du teilst bislang keine Details zur Umgebung. Haben die Mitarbeiter einen Windowsrechner vor sich, oder einen Thinclient? Auf einem Windowsrechner kannst Du es natürlich so einrichten, dass gleich nach der Anmeldung die Remotedesktopverbindung aufgebaut wird - hier würde dann ein zweites Mal die PIN der SmartCard abgefragt.
Member: binBash86
binBash86 Feb 22, 2022 at 09:22:59 (UTC)
Goto Top
Zitat von @DerWoWusste:

Du teilst bislang keine Details zur Umgebung. Haben die Mitarbeiter einen Windowsrechner vor sich, oder einen Thinclient? Auf einem Windowsrechner kannst Du es natürlich so einrichten, dass gleich nach der Anmeldung die Remotedesktopverbindung aufgebaut wird - hier würde dann ein zweites Mal die PIN der SmartCard abgefragt.

- Active-Directory
- 4x Windows Terminalserver
- Windows 10 PCs, teilweise in der Domäne, teilweise einfach nur ein lokales Konto und eine RDP Verknüpfung auf dem Desktop (könnte aber geändert werden, so dass alle PCs in der Domäne sind)
- User arbeiten 100% auf dem Terminalserver
Member: kpunkt
kpunkt Feb 22, 2022 at 09:39:06 (UTC)
Goto Top
Ohne es komplett gelesen zu haben:
https://www.winteach.de/windows-server/active-directory/smartcard-login- ...
Ist schon etwas älter, sollte aber grundsätzlich passen.

Die PCs werden ja quasi nur als RDP-Plattform eingesetzt, wenn ich das richtig rauslese.
Member: DerWoWusste
DerWoWusste Feb 22, 2022 at 09:57:22 (UTC)
Goto Top
Das ist doch fein, dann mal los. Besorg Dir zum Test der Einfachheit halber einen Yubikey 5 NFC (Smartcard und -reader Kombigerät) und geh nach deren Anleitung vor. Du brauchst zwingend eine Domänen-CA.
Member: stefanxerri
stefanxerri Sep 09, 2023 at 07:43:19 (UTC)
Goto Top
Hallo,

es gibt verschiedene Wege, die nach Rom führen. Wenn Du eine NFC PKI Karte anschaffen willst dann kannst Du Zertifikate aus der Domain CA ausrollen und direkt benutzen.

Wir benutzen es und es ist schöne das man wirklich automatische Logons hat wenn der NFC Token aufliegt.

Es gibt natürlich noch viele andere Lösungen. Es liegt immer ein wenig daran wie viel Zeit Du investieren möchtest.

Viel Glück