Smartcard Anmeldung am PC
Mahlzeit in die Runde,
ich habe nun schon etwas im Internet recherchiert und bin gefühlt "dümmer" als vorher.
Zielvorstellung:
Mitarbeiter Ausweis mit RFID Chip für folgende Themen:
- Zutrittskontrolle zum Gebäude/Parkplatz (Hier wird vermutlich Dorma Kaba zum Einsatz kommen)
- Authentifizierung am Windows PC (Anmeldung, entsperren, etc)
- Zutrittskontrolle für Serverschränke, Verteilungen usw.
Umgebung:
Domaincontroller: Windows Server 2022 Datacenter
Clients Betriebssystem: Windows 10 Enterprise 21H1
Windows Root CA: Vorhanden auf Server 2022
Client Computer: Fujitsu Esprimo, Lenovo E15, Dell Inspiron 14, Fujitsu Lifebook
Angefangen hat alles mit einer elektronischen Zutrittskontrolle für ein Rolltor zum Parkplatz. Nun sind wir intern schon bei einer Windows Authentifizierung.
Jeder Mitarbeiter bei uns soll einen Mitarbeiterausweis mit entsprechendem RFID Chip erhalten. Hierzu sind keine näheren Parameter bekannt.
Nun war die Überlegung diesen RFID Chip entsprechend an einer Kaba Zutrittskontrolle anzulernen und entsprechend zu berechtigen. Soweit so gut.
Jetzt kam aber die Frage auf, ob man sich dann nicht auch mit dem Mitarbeiter Ausweis (Checkkarte) auch an einem PC anmelden kann.
Alle unsere Computer sind Mitglied der Domäne, laufen auf Windows 10 Enterprise 21H1 und haben teilweise schon einen Smartcard Leser an Board (Fujsitu Lifebook).
Bis dato kam so etwas noch nicht zum Einsatz.
Ich bin bereits auf den Hersteller "ID.Logon - https://www.id-logon.com/; aufmerksam geworden.
Die Frage ist nur, ob es der richtige Ansatzpunkt ist.
Hier im Forum habe ich schon ähnliche Anfragen gesehen, wo es um eine Smartcard Anmeldung ging.
Nur leider nicht in Zusammenhang mit einer Zutrittskontrolle.
Klar kann ich eine Smartcard Authentifizierung über die Windows Root CA vornehmen, aber kann ich ein entsprechendes Zertifikat auf einen solchen Mitarbeiterausweis "aufspielen" ?
Wir hätten gerne eine globale Lösung und nicht 5 verschiedene Medien und Softwarestücke.
Wir sind derzeit auch noch nicht auf Dorma Kaba zur Zutrittskontrolle festgenagelt, ziehen diese aber in die engere Auswahl.
Hat hier ggf. jemand Erfahrungen in dem Bereich und kann da mal seinen Eindruck mitteilen?
Von Dorma Kaba würden wir ja vermeintlich ein Stück Hardware erhalten (Kartenleser) mit dem wir die Karten anlernen können und ggf. ein Stück Software um Rollen etc. zu definieren.
Kann ich so ein System aber auch mit dem Windows AD verheiraten?
Ich müsste dem AD ja irgendwie mitteilen, welchem Benutzer welche Smartcard zugeordnet ist....?
Freue mich auf eure Rückmeldung!
Gruß
ich habe nun schon etwas im Internet recherchiert und bin gefühlt "dümmer" als vorher.
Zielvorstellung:
Mitarbeiter Ausweis mit RFID Chip für folgende Themen:
- Zutrittskontrolle zum Gebäude/Parkplatz (Hier wird vermutlich Dorma Kaba zum Einsatz kommen)
- Authentifizierung am Windows PC (Anmeldung, entsperren, etc)
- Zutrittskontrolle für Serverschränke, Verteilungen usw.
Umgebung:
Domaincontroller: Windows Server 2022 Datacenter
Clients Betriebssystem: Windows 10 Enterprise 21H1
Windows Root CA: Vorhanden auf Server 2022
Client Computer: Fujitsu Esprimo, Lenovo E15, Dell Inspiron 14, Fujitsu Lifebook
Angefangen hat alles mit einer elektronischen Zutrittskontrolle für ein Rolltor zum Parkplatz. Nun sind wir intern schon bei einer Windows Authentifizierung.
Jeder Mitarbeiter bei uns soll einen Mitarbeiterausweis mit entsprechendem RFID Chip erhalten. Hierzu sind keine näheren Parameter bekannt.
Nun war die Überlegung diesen RFID Chip entsprechend an einer Kaba Zutrittskontrolle anzulernen und entsprechend zu berechtigen. Soweit so gut.
Jetzt kam aber die Frage auf, ob man sich dann nicht auch mit dem Mitarbeiter Ausweis (Checkkarte) auch an einem PC anmelden kann.
Alle unsere Computer sind Mitglied der Domäne, laufen auf Windows 10 Enterprise 21H1 und haben teilweise schon einen Smartcard Leser an Board (Fujsitu Lifebook).
Bis dato kam so etwas noch nicht zum Einsatz.
Ich bin bereits auf den Hersteller "ID.Logon - https://www.id-logon.com/; aufmerksam geworden.
Die Frage ist nur, ob es der richtige Ansatzpunkt ist.
Hier im Forum habe ich schon ähnliche Anfragen gesehen, wo es um eine Smartcard Anmeldung ging.
Nur leider nicht in Zusammenhang mit einer Zutrittskontrolle.
Klar kann ich eine Smartcard Authentifizierung über die Windows Root CA vornehmen, aber kann ich ein entsprechendes Zertifikat auf einen solchen Mitarbeiterausweis "aufspielen" ?
Wir hätten gerne eine globale Lösung und nicht 5 verschiedene Medien und Softwarestücke.
Wir sind derzeit auch noch nicht auf Dorma Kaba zur Zutrittskontrolle festgenagelt, ziehen diese aber in die engere Auswahl.
Hat hier ggf. jemand Erfahrungen in dem Bereich und kann da mal seinen Eindruck mitteilen?
Von Dorma Kaba würden wir ja vermeintlich ein Stück Hardware erhalten (Kartenleser) mit dem wir die Karten anlernen können und ggf. ein Stück Software um Rollen etc. zu definieren.
Kann ich so ein System aber auch mit dem Windows AD verheiraten?
Ich müsste dem AD ja irgendwie mitteilen, welchem Benutzer welche Smartcard zugeordnet ist....?
Freue mich auf eure Rückmeldung!
Gruß
Please also mark the comments that contributed to the solution of the article
Content-ID: 2936868166
Url: https://administrator.de/contentid/2936868166
Printed on: October 4, 2024 at 01:10 o'clock
10 Comments
Latest comment
Hatte bisher keine berührungspunkte mit Dorma Kaba, aber grundsätzlich ist sowas auch die standardvorgehensweise: Der Cert wird von deiner CA ausgestellt und der PrivateKey landet auf der Smartcard.
Das geht auch mit "self enrollment" - d.h. der user kanns selbst machen wenn er sein windows passwort kennt
Yubikey hat dazu recht gute Supportartikel:
https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...
https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
Das geht auch mit "self enrollment" - d.h. der user kanns selbst machen wenn er sein windows passwort kennt
Yubikey hat dazu recht gute Supportartikel:
https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...
https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
Übrigens, das RFID ist keine Smartcard, auch, wenn sie gleich groß ist (sein kann). Das RFID lässt sich mit einem 20€ Gerät einfach kopieren und führ mehr als eine Zutrittskontrolle nicht geeignet.
Somit wärst du bereits bei zwei Systemen, ausser, du stellt die Zutrittskontrolle auch auf echte Smartkarten um.
Somit wärst du bereits bei zwei Systemen, ausser, du stellt die Zutrittskontrolle auch auf echte Smartkarten um.
Du kannst dich bei den KABA-Leuten mal schlau machen, welche Karte Euer Schließsystem unterstützt.
Eine Windows-Anmeldung ohne Zusatzsoftware mit Zertifikaten auf einer SmartCard geht z.B. über https://www.smartcardfocus.com/shop/ilp/id~900/gemalto-safenet-idprime-9 ...
Diese Karte wird mit Dorma KABA xy vermutlich funktionieren. Der für Windows empfohlene Reader dazu ist dieser:
Thales IDBRIDGE CT700 GENERIC READER (P/N: 962-000027-004)
Die genannte Anleitung https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ... ist auch mit dieser Karte 1zu1 umsetzbar.
Was Serverschränke angeht, musst Du schauen, was die für Reader haben.
Eine Windows-Anmeldung ohne Zusatzsoftware mit Zertifikaten auf einer SmartCard geht z.B. über https://www.smartcardfocus.com/shop/ilp/id~900/gemalto-safenet-idprime-9 ...
Diese Karte wird mit Dorma KABA xy vermutlich funktionieren. Der für Windows empfohlene Reader dazu ist dieser:
Thales IDBRIDGE CT700 GENERIC READER (P/N: 962-000027-004)
Die genannte Anleitung https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ... ist auch mit dieser Karte 1zu1 umsetzbar.
Was Serverschränke angeht, musst Du schauen, was die für Reader haben.
Aus Interesse @binBash86
Warum nicht mit Bordmitteln, welche Vorteile siehst Du?
Warum nicht mit Bordmitteln, welche Vorteile siehst Du?
Moin,
mal als info bzgl. Zutrittskontrolle.
Je nach System kann es u. U. erforderlich sein, die Türen (neu) zu verdrahten, damit ein an der Wand installierter Leser auch den derzeit nicht vorhandenen Summer in der Tür ansteuern kann.
Bei normalen Zimmertüren wird dies, mal abgesehen von dem zu erwartendem Montageaufwand, kein Problem sein. Habt ihr Brandschutztüren, dürfen diese baulich nicht ohne weiteres verändert werden. Ihr müsstest ansonsten die modifizierte Tür entweder rezertifizieren lassen oder direkt eine neue Tür verbauen.
Es gibt aber auch Systeme, bei denen du den bisherigen Schließzylinder ausbaust und anstelle dessen ein digitalen Zylinder einbaust. es gibt auch ganze Drückergarnituren.
Schaue dich, als Beispiel, mal bei SimonsVoss um. Neben den Transpondern, welche man zusätzlich mit RFID-Tags (Mifare DESFire & Co) ausstatten lassen kann, gibt es auch SmartCards - Erfahrung mit der Client-Anbindung habe ich hier aber bisweilen noch nicht sammeln können; nutzen wir das System bisher ausschließlich für PZE und Zutritt.
Bei SimonsVoss gibt es auch Halbzylinder, die man dann in die Standard-Rittal-Schränke verbauen könnte.
SimonsVoss hat zudem noch weitere Module, z.B. steuern wir darüber den Anforderungskontakt unseres Fahrstuhls. Garagentore und Schranken sind auch kein Problem. selbst für Büromöbel hat SimonsVoss etwas im Angebot.
Kurzum: Schaut euch bei eurem Vorhaben ALLE Komponenten an, und findet ein gemeinsames Schließsystem.
Gruß
em-pie
mal als info bzgl. Zutrittskontrolle.
Je nach System kann es u. U. erforderlich sein, die Türen (neu) zu verdrahten, damit ein an der Wand installierter Leser auch den derzeit nicht vorhandenen Summer in der Tür ansteuern kann.
Bei normalen Zimmertüren wird dies, mal abgesehen von dem zu erwartendem Montageaufwand, kein Problem sein. Habt ihr Brandschutztüren, dürfen diese baulich nicht ohne weiteres verändert werden. Ihr müsstest ansonsten die modifizierte Tür entweder rezertifizieren lassen oder direkt eine neue Tür verbauen.
Es gibt aber auch Systeme, bei denen du den bisherigen Schließzylinder ausbaust und anstelle dessen ein digitalen Zylinder einbaust. es gibt auch ganze Drückergarnituren.
Schaue dich, als Beispiel, mal bei SimonsVoss um. Neben den Transpondern, welche man zusätzlich mit RFID-Tags (Mifare DESFire & Co) ausstatten lassen kann, gibt es auch SmartCards - Erfahrung mit der Client-Anbindung habe ich hier aber bisweilen noch nicht sammeln können; nutzen wir das System bisher ausschließlich für PZE und Zutritt.
Bei SimonsVoss gibt es auch Halbzylinder, die man dann in die Standard-Rittal-Schränke verbauen könnte.
SimonsVoss hat zudem noch weitere Module, z.B. steuern wir darüber den Anforderungskontakt unseres Fahrstuhls. Garagentore und Schranken sind auch kein Problem. selbst für Büromöbel hat SimonsVoss etwas im Angebot.
Kurzum: Schaut euch bei eurem Vorhaben ALLE Komponenten an, und findet ein gemeinsames Schließsystem.
Gruß
em-pie
Hi,
softwaretechnisch befindet sich Simons&Voss leider im letzten Jahrtausend. Altbackene Windows-only Software im Windows 95-Design. Deshalb ist S&V bei uns auch letztes Jahr bei der Auswahl einer neuen Schließanlage rausgeflogen. Danach wären Sie aber auch wegen des Preises rausgeflogen, der war auch völlig überzogen.
Wir sind am Ende bei SaltoSystems gelandet und haben fast alles von denen im Einsatz. Elektronische Zylinder, Beschläge, Wandleser, Steuerungen, usw. usw. Wir haben alle Türen damit ausgestattet, alle Serverschränke, Aufzüge, und die Alarmanlagen werden auch per Salto-Tag scharf/unscharf geschaltet. An der Print&Follow-Software unserer Drucker identifizieren wir uns auch per Salto-Tag. Alles an mehreren Standorten, für die ich nur einen einzigen RFID-Tag brauche.
Die Server-Komponente der Software läuft unter Windows, bedient wird per Web-GUI von jedem beliebigen System (Win/Mac/Linux/iPad) aus. User-Sync per LDAP/AD ist natürlich obligatorisch. Auch die Schließberechtigung kann man über AD-Gruppen lösen, dann bräuchte man zur Administration fast nicht mehr ans Hauptsystem ran.
Ich weiß nicht, ob man die Salto-Tags zur Anmeldung am Rechner nehmen kann, aber man muß nicht zwingend die originalen RFID-Tags von Salto benutzen, sondern kann auch Fremdmedien beschreiben. Es gibt auch z.B. Kombi-Karten mit zwei Medien, also Chip und RFID, sowas könnte bei Dir auch funktionieren.
Unterm Strich würde ich Dir aber hier von Simons und Voss sowie von DormaKaba abraten.
Bei Fragen gerne auch per PN.
cu,
ipzipzap
softwaretechnisch befindet sich Simons&Voss leider im letzten Jahrtausend. Altbackene Windows-only Software im Windows 95-Design. Deshalb ist S&V bei uns auch letztes Jahr bei der Auswahl einer neuen Schließanlage rausgeflogen. Danach wären Sie aber auch wegen des Preises rausgeflogen, der war auch völlig überzogen.
Wir sind am Ende bei SaltoSystems gelandet und haben fast alles von denen im Einsatz. Elektronische Zylinder, Beschläge, Wandleser, Steuerungen, usw. usw. Wir haben alle Türen damit ausgestattet, alle Serverschränke, Aufzüge, und die Alarmanlagen werden auch per Salto-Tag scharf/unscharf geschaltet. An der Print&Follow-Software unserer Drucker identifizieren wir uns auch per Salto-Tag. Alles an mehreren Standorten, für die ich nur einen einzigen RFID-Tag brauche.
Die Server-Komponente der Software läuft unter Windows, bedient wird per Web-GUI von jedem beliebigen System (Win/Mac/Linux/iPad) aus. User-Sync per LDAP/AD ist natürlich obligatorisch. Auch die Schließberechtigung kann man über AD-Gruppen lösen, dann bräuchte man zur Administration fast nicht mehr ans Hauptsystem ran.
Ich weiß nicht, ob man die Salto-Tags zur Anmeldung am Rechner nehmen kann, aber man muß nicht zwingend die originalen RFID-Tags von Salto benutzen, sondern kann auch Fremdmedien beschreiben. Es gibt auch z.B. Kombi-Karten mit zwei Medien, also Chip und RFID, sowas könnte bei Dir auch funktionieren.
Unterm Strich würde ich Dir aber hier von Simons und Voss sowie von DormaKaba abraten.
Bei Fragen gerne auch per PN.
cu,
ipzipzap
@ipzipzap
Danke. sieht in der Tat nach einer brauchbaren SimonsVoss-Anlage aus. Behalte ich mir mal im Hinterkopf.
Danke. sieht in der Tat nach einer brauchbaren SimonsVoss-Anlage aus. Behalte ich mir mal im Hinterkopf.