banane31
Goto Top

Smartcard Anmeldung am PC

Mahlzeit in die Runde,

ich habe nun schon etwas im Internet recherchiert und bin gefühlt "dümmer" als vorher.


Zielvorstellung:

Mitarbeiter Ausweis mit RFID Chip für folgende Themen:
- Zutrittskontrolle zum Gebäude/Parkplatz (Hier wird vermutlich Dorma Kaba zum Einsatz kommen)
- Authentifizierung am Windows PC (Anmeldung, entsperren, etc)
- Zutrittskontrolle für Serverschränke, Verteilungen usw.

Umgebung:
Domaincontroller: Windows Server 2022 Datacenter
Clients Betriebssystem: Windows 10 Enterprise 21H1
Windows Root CA: Vorhanden auf Server 2022
Client Computer: Fujitsu Esprimo, Lenovo E15, Dell Inspiron 14, Fujitsu Lifebook

Angefangen hat alles mit einer elektronischen Zutrittskontrolle für ein Rolltor zum Parkplatz. Nun sind wir intern schon bei einer Windows Authentifizierung.
Jeder Mitarbeiter bei uns soll einen Mitarbeiterausweis mit entsprechendem RFID Chip erhalten. Hierzu sind keine näheren Parameter bekannt.

Nun war die Überlegung diesen RFID Chip entsprechend an einer Kaba Zutrittskontrolle anzulernen und entsprechend zu berechtigen. Soweit so gut.
Jetzt kam aber die Frage auf, ob man sich dann nicht auch mit dem Mitarbeiter Ausweis (Checkkarte) auch an einem PC anmelden kann.

Alle unsere Computer sind Mitglied der Domäne, laufen auf Windows 10 Enterprise 21H1 und haben teilweise schon einen Smartcard Leser an Board (Fujsitu Lifebook).
Bis dato kam so etwas noch nicht zum Einsatz.

Ich bin bereits auf den Hersteller "ID.Logon - https://www.id-logon.com/; aufmerksam geworden.
Die Frage ist nur, ob es der richtige Ansatzpunkt ist.

Hier im Forum habe ich schon ähnliche Anfragen gesehen, wo es um eine Smartcard Anmeldung ging.
Nur leider nicht in Zusammenhang mit einer Zutrittskontrolle.

Klar kann ich eine Smartcard Authentifizierung über die Windows Root CA vornehmen, aber kann ich ein entsprechendes Zertifikat auf einen solchen Mitarbeiterausweis "aufspielen" ?

Wir hätten gerne eine globale Lösung und nicht 5 verschiedene Medien und Softwarestücke.

Wir sind derzeit auch noch nicht auf Dorma Kaba zur Zutrittskontrolle festgenagelt, ziehen diese aber in die engere Auswahl.

Hat hier ggf. jemand Erfahrungen in dem Bereich und kann da mal seinen Eindruck mitteilen?
Von Dorma Kaba würden wir ja vermeintlich ein Stück Hardware erhalten (Kartenleser) mit dem wir die Karten anlernen können und ggf. ein Stück Software um Rollen etc. zu definieren.
Kann ich so ein System aber auch mit dem Windows AD verheiraten?
Ich müsste dem AD ja irgendwie mitteilen, welchem Benutzer welche Smartcard zugeordnet ist....?

Freue mich auf eure Rückmeldung!
Gruß

Content-ID: 2936868166

Url: https://administrator.de/contentid/2936868166

Printed on: October 4, 2024 at 01:10 o'clock

NetzwerkDude
NetzwerkDude May 30, 2022 at 10:37:59 (UTC)
Goto Top
Hatte bisher keine berührungspunkte mit Dorma Kaba, aber grundsätzlich ist sowas auch die standardvorgehensweise: Der Cert wird von deiner CA ausgestellt und der PrivateKey landet auf der Smartcard.

Das geht auch mit "self enrollment" - d.h. der user kanns selbst machen wenn er sein windows passwort kennt

Yubikey hat dazu recht gute Supportartikel:
https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...
https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
NordicMike
NordicMike May 30, 2022 at 11:11:32 (UTC)
Goto Top
Übrigens, das RFID ist keine Smartcard, auch, wenn sie gleich groß ist (sein kann). Das RFID lässt sich mit einem 20€ Gerät einfach kopieren und führ mehr als eine Zutrittskontrolle nicht geeignet.

Somit wärst du bereits bei zwei Systemen, ausser, du stellt die Zutrittskontrolle auch auf echte Smartkarten um.
DerWoWusste
Solution DerWoWusste May 30, 2022 at 11:27:17 (UTC)
Goto Top
Du kannst dich bei den KABA-Leuten mal schlau machen, welche Karte Euer Schließsystem unterstützt.
Eine Windows-Anmeldung ohne Zusatzsoftware mit Zertifikaten auf einer SmartCard geht z.B. über https://www.smartcardfocus.com/shop/ilp/id~900/gemalto-safenet-idprime-9 ...
Diese Karte wird mit Dorma KABA xy vermutlich funktionieren. Der für Windows empfohlene Reader dazu ist dieser:
Thales IDBRIDGE CT700 GENERIC READER (P/N: 962-000027-004)

Die genannte Anleitung https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ... ist auch mit dieser Karte 1zu1 umsetzbar.

Was Serverschränke angeht, musst Du schauen, was die für Reader haben.
binBash86
binBash86 May 30, 2022 at 11:59:47 (UTC)
Goto Top
Genau das Projekt habe ich gerade bei einem Kunden. Allerdings machen wir das nicht mit Bordmitteln, sondern mit ID-Logon. Man kann dann auch die meisten anderen Tokens verwenden.
DerWoWusste
DerWoWusste May 30, 2022 at 12:10:02 (UTC)
Goto Top
Aus Interesse @binBash86
Warum nicht mit Bordmitteln, welche Vorteile siehst Du?
binBash86
binBash86 May 30, 2022 at 12:25:19 (UTC)
Goto Top
Keine, ich spare nur Zeit muss mich da nicht reindenken.
banane31
banane31 May 30, 2022 at 12:39:46 (UTC)
Goto Top
Erst einmal vielen Dank für euren Input.

Eine Anfrage bei dem Dienstleister, der die Zutrittskontrolle einrichtet ist offen.
Ich wollte aber gerne mal "unabhängige" Erfahrungen hören.

Das ein RFID Chip keine Smartcard darstellt ist mir bewusst, nur ich möchte verhindern, dass man mit diversen Authentifizierungs Methoden konfrontiert ist.

Als kleine Erläuterung:
Wir arbeiten mit unserem IT Systeme autark (auch ohne Internet).
Hier hat jeder User seinen Domain Account und einen zugehörigen PC. Leider gibt es auch noch "Gruppen Accounts" Weil es sehr umständlich ist immer wieder Benutzername und Kennwort einzugeben. Deswegen die Idee mit der Smartcard Anmeldung.

Von unserem Mutterschiff haben wir jedoch auch noch Arbeitsplatz Ausstattung (2 Monitore, Notebook, iPhone, iPad, YubiKey, etc) und können uns mit der IT entsprechend in dem "normalen" Office Netz bewegen. (Mails, SAP, Intranet usw.)
Hier wird M365 mit Azure eingesetzt, somit auch hier ein eigener Account, ein YubiKey und die Microsoft Auth App auf dem iPhone.
Dazu kommt, dass wir regelmäßig andere Standorte bereisen, wo auch teilweise mal eine Zutrittskontrolle vorhanden ist oder aber nur über einen mechanischen Schließzylinder gearbeitet wird.

Ich persönlich laufe also derzeit mit einem Schlüsselbund, Mitarbeiterausweis (ohne RFID), 3 Chipkarten für Außenstandorte, YubiKey, MS Auth App und dem Google Authentificator auf meinem privaten Handy durch die gegend.
Wenn nun noch ein System kommt (Zutrittskontrolle Hauptstandort), ebenso eine Smartcard für das "Offline" Netzwerk gehen mir die Kollegen wohl irgendwann an die Gurgel...mich persönlich stört das auch massiv.
Nur leider ist das alles mit der Zeit gewachsen und es wurden nur Insellösungen genutzt.
Davon wollen wir nun weg und alles mal etwas entschlacken.
Ist ja schon nervenaufreibend, dass ich hier mit 3 Notebooks an meinem Arbeitsplatz sitze, nem KVM Switch und pausenlos wechseln muss.
Wenn man dann vom Dienstleister nen Code per Mail bekommt muss man diesen immer auf Papier schreiben, KVM Switch betätigen und auf dem anderen PC per Hand eingeben. Gerade bei Produkt Keys etc. sehr fehleranfällig und listig. Das bekommen wir wohl aber so schnell nicht weg face-sad
em-pie
em-pie May 30, 2022 at 13:42:38 (UTC)
Goto Top
Moin,

mal als info bzgl. Zutrittskontrolle.
Je nach System kann es u. U. erforderlich sein, die Türen (neu) zu verdrahten, damit ein an der Wand installierter Leser auch den derzeit nicht vorhandenen Summer in der Tür ansteuern kann.
Bei normalen Zimmertüren wird dies, mal abgesehen von dem zu erwartendem Montageaufwand, kein Problem sein. Habt ihr Brandschutztüren, dürfen diese baulich nicht ohne weiteres verändert werden. Ihr müsstest ansonsten die modifizierte Tür entweder rezertifizieren lassen oder direkt eine neue Tür verbauen.

Es gibt aber auch Systeme, bei denen du den bisherigen Schließzylinder ausbaust und anstelle dessen ein digitalen Zylinder einbaust. es gibt auch ganze Drückergarnituren.
Schaue dich, als Beispiel, mal bei SimonsVoss um. Neben den Transpondern, welche man zusätzlich mit RFID-Tags (Mifare DESFire & Co) ausstatten lassen kann, gibt es auch SmartCards - Erfahrung mit der Client-Anbindung habe ich hier aber bisweilen noch nicht sammeln können; nutzen wir das System bisher ausschließlich für PZE und Zutritt.

Bei SimonsVoss gibt es auch Halbzylinder, die man dann in die Standard-Rittal-Schränke verbauen könnte.
SimonsVoss hat zudem noch weitere Module, z.B. steuern wir darüber den Anforderungskontakt unseres Fahrstuhls. Garagentore und Schranken sind auch kein Problem. selbst für Büromöbel hat SimonsVoss etwas im Angebot.


Kurzum: Schaut euch bei eurem Vorhaben ALLE Komponenten an, und findet ein gemeinsames Schließsystem.

Gruß
em-pie
ipzipzap
ipzipzap May 30, 2022 updated at 14:46:06 (UTC)
Goto Top
Hi,

softwaretechnisch befindet sich Simons&Voss leider im letzten Jahrtausend. Altbackene Windows-only Software im Windows 95-Design. Deshalb ist S&V bei uns auch letztes Jahr bei der Auswahl einer neuen Schließanlage rausgeflogen. Danach wären Sie aber auch wegen des Preises rausgeflogen, der war auch völlig überzogen.

Wir sind am Ende bei SaltoSystems gelandet und haben fast alles von denen im Einsatz. Elektronische Zylinder, Beschläge, Wandleser, Steuerungen, usw. usw. Wir haben alle Türen damit ausgestattet, alle Serverschränke, Aufzüge, und die Alarmanlagen werden auch per Salto-Tag scharf/unscharf geschaltet. An der Print&Follow-Software unserer Drucker identifizieren wir uns auch per Salto-Tag. Alles an mehreren Standorten, für die ich nur einen einzigen RFID-Tag brauche.

Die Server-Komponente der Software läuft unter Windows, bedient wird per Web-GUI von jedem beliebigen System (Win/Mac/Linux/iPad) aus. User-Sync per LDAP/AD ist natürlich obligatorisch. Auch die Schließberechtigung kann man über AD-Gruppen lösen, dann bräuchte man zur Administration fast nicht mehr ans Hauptsystem ran.

Ich weiß nicht, ob man die Salto-Tags zur Anmeldung am Rechner nehmen kann, aber man muß nicht zwingend die originalen RFID-Tags von Salto benutzen, sondern kann auch Fremdmedien beschreiben. Es gibt auch z.B. Kombi-Karten mit zwei Medien, also Chip und RFID, sowas könnte bei Dir auch funktionieren.

Unterm Strich würde ich Dir aber hier von Simons und Voss sowie von DormaKaba abraten.

Bei Fragen gerne auch per PN.

cu,
ipzipzap
em-pie
em-pie May 30, 2022 at 15:02:12 (UTC)
Goto Top
@ipzipzap
Danke. sieht in der Tat nach einer brauchbaren SimonsVoss-Anlage aus. Behalte ich mir mal im Hinterkopf.