lordguck
Goto Top

Suche OTP Lösung für Offline Rechner

Hallo,

ich suche eine OpenSource/kostenlose/günstige One-Time Passwort Lösung für Windows Rechner ohne
Internetanbindung.

Der Hintergrund ist der, daß wir 10 PC/Laptops für Heimarbeitsplätze einsetzen.
Manchmal geht die Internetverbindung verloren und wir müssen den Mitarbeitern dann per Telefon helfen.
Hier wird ab und zu auch ein Admin Level Zugang benötigt (IP ändern etc).
Dem Mitarbeiter das Admin Passwort nennen zu müssen, ist dann natürlich blöd.

Gruß
Lordguck

Content-ID: 265092

Url: https://administrator.de/forum/suche-otp-loesung-fuer-offline-rechner-265092.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

joehuaba
joehuaba 03.03.2015 um 13:47:50 Uhr
Goto Top
Tut mir Leid, aber ich versteh deine Frage nicht ganz ?
Ein bisschen detaillierter bitte, was du genau möchtest face-smile
lordguck
lordguck 03.03.2015 um 14:50:51 Uhr
Goto Top
OK., die Beschreibung in Langform face-smile

Wir müssen unseren Heimarbeitsplatz Usern Support leisten.
Wenn das Internet weg ist (und somit auch keine Fernwartung möglich ist), helfen wir am Telefon a la " klicken Sie da, machen Sie dies ..."
Für einige Aktionen ist eine Admin User Anmeldung nötig, wenn z.B. der User die IPV4 Addressvergabe von DHCP auf "Manuell" umschalten soll.

Das Problem ist, daß wir den Usern dann ein Admin Kennwort nennen müssen. Einige der Schlaumeier haben sich die
Passwörter natürlich prompt aufgeschrieben und nutzen diese fleißig auf ihrer Maschine.

Was wir jetzt suchen ist eine One-Time Passwort Lösung die ohne Radius/AD Server Verbindung (Arbeitsplatz ist ja offline) auskommt.
Das Ziel ist es, daß der Supporter ein Passwort generiert, dem Mitarbeiter mitteilt und das genannte Passwort nach Abschluß der Arbeiten automatisch ungültig wird.

Gruß
Lordguck
joehuaba
joehuaba 04.03.2015 um 08:15:59 Uhr
Goto Top
ok jetzt hab ichs kapiert face-smile

Hm. Also ohne Verbindung ins AD wird das schwer.
Lokaler Adminuser wäre natürlich auch ne Idee, aber diese sind natürlich dann immer aktiviert, und nicht nur 1x face-sad

Man könnte natürlich Pfuschen:
Du schreibst ein Programm in vb.net, das beim
1. Start: Passwort: 1234
2. Start: Passwort: 5678
3. Start: Passwort: 9012 hat. etc.

Dieses Programm führt beim Starten folgendes aus:
net user Administrator /active
(Lokaler Benutzer "Administrator" wird aktiviert)


Beim Beenden des Programms wird folgendes ausgeführt:
net user Administrator /active:no
(Lokaler Benutzer "Administrator" wird deaktiviert)


Die Passwörter zum Starten der Software wisst natürlich nur ihr face-smile
Eventuell musst du den Befehl in der Software mit einem weiteren Adminuser ausführen,
hier kannst du allerdings das Passwort etc. hardcoded in der Software hinterlegen und musst den User nie wieder anfassen face-smile

Somit können die User oder auch ihr mit dem Adminuser arbeiten,
aber spätestens zum nächsten Neustart (beenden des Programms) ist der User wieder deaktiviert.
lordguck
lordguck 04.03.2015 um 13:11:38 Uhr
Goto Top
Danke für den Ansatz. Schade, dasss man sich so behelfen muß. Es gibt so tolle OTP Programme mit und ohne Token. Aber
alle die ich gefunden habe brauchen eine Online Verbindung (Google, OneOTP etc) oder Radius Anbindung.

Danke
Lordguck
joehuaba
joehuaba 04.03.2015 um 14:08:37 Uhr
Goto Top
Ja das tut mir Leid, aber spontan fällt mir zu deiner Situation nichts besseres ein face-sad
catachan
catachan 04.03.2015 um 21:19:07 Uhr
Goto Top
Hi

RSA kann das, dürfte aber für eure 10 PCs dann doch etwas zu viel sein

lg
lordguck
lordguck 08.03.2015 um 16:28:38 Uhr
Goto Top
Danke fuer Deine Antwort. RSA ist wirklich zu teuer.
cornelinux
cornelinux 15.11.2015 aktualisiert um 08:08:05 Uhr
Goto Top
Hi,

das Thema ist zwar schon etwas alt - aber vielleicht hilft es.
Das Zwei-Faktor-System privacyIDEA kann sowas.

Es gibt dafür für Linux ein PAM Modul und für Windows einen privacyIDEA Credential Provider.

Die Offline-Funktionalität ist im PAM Modul schon integriert.
Im Credential Provider ist sie noch nicht drinnen - ist aber auch dort in Planung...

Schönen Gruß
Cornelius
lordguck
lordguck 24.11.2015 um 09:15:46 Uhr
Goto Top
Danke, ich sehe es mir an.