Unterschied lokal vs. RDP bei Windows SmartCard-Login
Ich grüße Euch!
Wer nutzt denn hier auf Windows den SmartCard-Login auch in Verbindung mit RDP?
Ich habe auf meinem Yubikey 3 Zertifikate gespeichert - lokal kann ich alle 3 nutzen.
Für RDP-Login kann ich jedoch nur 2 davon nutzen, nämlich die beiden, die ich zuerst auf den Stick geschrieben habe:
Da der Yubikey-Support ohne Vertrag nicht so schnell antworten wird, möchte ich die Gelegenheit nutzen und fragen, ob das bei Euch auch so ist.
Mir scheint, der über RDP durchgeschleifte SmartcardReader kann remote nicht das leisten, was er lokal kann, aber das ist nur eine Vermutung.
Wer nutzt denn hier auf Windows den SmartCard-Login auch in Verbindung mit RDP?
Ich habe auf meinem Yubikey 3 Zertifikate gespeichert - lokal kann ich alle 3 nutzen.
Für RDP-Login kann ich jedoch nur 2 davon nutzen, nämlich die beiden, die ich zuerst auf den Stick geschrieben habe:
Mir scheint, der über RDP durchgeschleifte SmartcardReader kann remote nicht das leisten, was er lokal kann, aber das ist nur eine Vermutung.
Antworten-
2 
- Mehr
Auf Facebook teilen
Auf Twitter teilen9 Antworten
- LÖSUNG departure69 schreibt am 27.11.2020 um 14:43:57 Uhr
- LÖSUNG DerWoWusste schreibt am 27.11.2020 um 14:48:52 Uhr
- LÖSUNG DerWoWusste schreibt am 27.11.2020 um 16:03:08 Uhr
- LÖSUNG Franz-Josef-II schreibt am 28.11.2020 um 10:09:40 Uhr
- LÖSUNG DerWoWusste schreibt am 28.11.2020 um 12:44:44 Uhr
- LÖSUNG Franz-Josef-II schreibt am 28.11.2020 um 10:09:40 Uhr
- LÖSUNG DerWoWusste schreibt am 01.12.2020 um 15:45:41 Uhr
- LÖSUNG DerWoWusste schreibt am 09.12.2020 um 09:30:43 Uhr
- LÖSUNG departure69 schreibt am 09.12.2020 um 10:14:15 Uhr
- LÖSUNG DerWoWusste schreibt am 09.12.2020 um 10:23:14 Uhr
- LÖSUNG departure69 schreibt am 09.12.2020 um 10:14:15 Uhr
- LÖSUNG DerWoWusste schreibt am 09.12.2020 um 09:30:43 Uhr
LÖSUNG 27.11.2020 um 14:43 Uhr
@DerWoWusste:
Hallo.
Zu dem Gerät und den Keys kann ich leider gar nichts sagen.
Aber die Funktionalität und die Fähigkeiten des RDP-Protokolls stehen und fallen mit dem Alter der jeweiligen RDP-/RDS-Software auf Client- und Serverseite.
Deshalb gestatte die Frage:
Wo willst Du per RDP-Client hin? Auf einen richtigen RDS-/Terminalserver? Dann geht das am Besten mit dem allerneuesten, den Microsoft zu bieten hat, also dem W2K19. Aber auch der RDP-Client sollte dem jüngsten Sproß von W10 angehören, momentan 20H2. Geht es um VDI (oder auch ein W10-Blech), gilt das gleiche, beide "Gegenstellen" sollten möglichst aktuell sein.
Ich betone das deshalb so sehr, weil sich hinsichtlich RDS/RDP beim W2K19 einiges massiv verbessert hat. Aber auch der W10-Client muß hier mitziehen, damit auch der entsprechend neueste RDP-Client im Einsatz ist.
Viele Grüße
von
departure69
Hallo.
Zu dem Gerät und den Keys kann ich leider gar nichts sagen.
Aber die Funktionalität und die Fähigkeiten des RDP-Protokolls stehen und fallen mit dem Alter der jeweiligen RDP-/RDS-Software auf Client- und Serverseite.
Deshalb gestatte die Frage:
Wo willst Du per RDP-Client hin? Auf einen richtigen RDS-/Terminalserver? Dann geht das am Besten mit dem allerneuesten, den Microsoft zu bieten hat, also dem W2K19. Aber auch der RDP-Client sollte dem jüngsten Sproß von W10 angehören, momentan 20H2. Geht es um VDI (oder auch ein W10-Blech), gilt das gleiche, beide "Gegenstellen" sollten möglichst aktuell sein.
Ich betone das deshalb so sehr, weil sich hinsichtlich RDS/RDP beim W2K19 einiges massiv verbessert hat. Aber auch der W10-Client muß hier mitziehen, damit auch der entsprechend neueste RDP-Client im Einsatz ist.
Viele Grüße
von
departure69
LÖSUNG 27.11.2020, aktualisiert um 14:54 Uhr
LÖSUNG 27.11.2020, aktualisiert 01.12.2020
Ok, gelöst.
Die Lösung ist etwas kurios. Der Remote-Anmeldebildschirm prüft allen Ernstes sofort ab, ob sich diese in der Smartcard gespeicherten Konten beim Quellrechner anmelden dürfen und stellt nur die dar, welche das dürfen! Unabhängig von der Anmeldeberechtigung am Ziel!
Das ist mal wieder MS-Logik!
Und nein, NLA (Network Level Authentication) spielt dabei keine Rolle, das ist deaktiviert am Ziel!
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Das ist mal wieder MS-Logik!
Und nein, NLA (Network Level Authentication) spielt dabei keine Rolle, das ist deaktiviert am Ziel!
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
LÖSUNG 28.11.2020 um 10:09 Uhr
Zitat von DerWoWusste:
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Der Supportmitarbeiter gibt das Problem in Tante Google ein ...... findet die Lösung auf administrator.de ...... und verkauft sie Dir ums teure Geld
LÖSUNG 01.12.2020, aktualisiert um 15:46 Uhr
So, kommen wir nun zur eigentlichen Lösung *hüstel*
Es hat mit den Anmeldeberechtigungen nichts zu tun. Es war nach vielem Geteste etwas unübersichtlich.
Was gegeben sein muss, damit es funktioniert: Auto-Enrollment auf der Yubikeyzertifikatsvorlage muss für die Nutzer aktiviert sein. Zudem habe ich die Zertifikate im AD veröffentlicht. Mir scheint, beides ist nötig. Ich hoffe, dass Yubico dies bestätigen kann, dann werde ich es hier reinschreiben - noch schweigen sie seit Freitag.
Es hat mit den Anmeldeberechtigungen nichts zu tun. Es war nach vielem Geteste etwas unübersichtlich.
Was gegeben sein muss, damit es funktioniert: Auto-Enrollment auf der Yubikeyzertifikatsvorlage muss für die Nutzer aktiviert sein. Zudem habe ich die Zertifikate im AD veröffentlicht. Mir scheint, beides ist nötig. Ich hoffe, dass Yubico dies bestätigen kann, dann werde ich es hier reinschreiben - noch schweigen sie seit Freitag.
LÖSUNG 09.12.2020, aktualisiert um 09:32 Uhr
Ich habe nach weiteren Tests nun endlich gepeilt, wie der Hase läuft:
Yubikey 5 (nfc) hat offiziell nur "Platz" für 2 Smartcardzertifikate. Allerdings hat der Yubikey 5 noch 20 weitere Slots für "retired Zertifikate", die man jedoch auch für diesen Zweck (die Smartcardanmeldung) nutzen kann (Enrollment wie gehabt, keine weiteren Schritte nötig).
Nun kommt's: damit diese retired Slots auch remote gelesen werden können, muss remote nicht nur der Treiber "Yubikey Smartcard Minidriver" installiert sein, sondern auch im Gerätemanager sichtbar sein - das passiert aber wenn von remote verbunden nicht automatisch, sondern nur manuell. Man muss ihn also als Legacydevice manuell hinzufügen, dann klappt alles sofort und ohne Neustart.
Hat also mit Anmeldeberechtigungen und Enrollmentart rein gar nichts zu tun!
Ich hatte mich in diese Scheinlösungen verstiegen, da ich getestet hatte sowohl mit VMs (die NUR von remote erreichbar sind) und mit realen Maschinen, wo ich die Smartcard ja tatsächlich auch anschließen konnte - daher das unterschiedliche Verhalten und die Trugschlüsse.
Yubico Support ist planlos und wusste von diesem Verhalten rein gar nichts! Es ist nicht einmal dokumentiert, dass die retired Slots dafür überhaupt genutzt werden können!
Yubikey 5 (nfc) hat offiziell nur "Platz" für 2 Smartcardzertifikate. Allerdings hat der Yubikey 5 noch 20 weitere Slots für "retired Zertifikate", die man jedoch auch für diesen Zweck (die Smartcardanmeldung) nutzen kann (Enrollment wie gehabt, keine weiteren Schritte nötig).
Nun kommt's: damit diese retired Slots auch remote gelesen werden können, muss remote nicht nur der Treiber "Yubikey Smartcard Minidriver" installiert sein, sondern auch im Gerätemanager sichtbar sein - das passiert aber wenn von remote verbunden nicht automatisch, sondern nur manuell. Man muss ihn also als Legacydevice manuell hinzufügen, dann klappt alles sofort und ohne Neustart.
Hat also mit Anmeldeberechtigungen und Enrollmentart rein gar nichts zu tun!
Ich hatte mich in diese Scheinlösungen verstiegen, da ich getestet hatte sowohl mit VMs (die NUR von remote erreichbar sind) und mit realen Maschinen, wo ich die Smartcard ja tatsächlich auch anschließen konnte - daher das unterschiedliche Verhalten und die Trugschlüsse.
Yubico Support ist planlos und wusste von diesem Verhalten rein gar nichts! Es ist nicht einmal dokumentiert, dass die retired Slots dafür überhaupt genutzt werden können!
LÖSUNG 09.12.2020 um 10:14 Uhr
@DerWoWusste:
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung.
Deine Ausdauer, solch ein Problem so richtig bis in die Tiefe zu knacken, ist übrigens bewundernswert. Ich hätte lange vorher aufgegeben.
Viele Grüße
von
departure69
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung
.Deine Ausdauer, solch ein Problem so richtig bis in die Tiefe zu knacken, ist übrigens bewundernswert. Ich hätte lange vorher aufgegeben.
Viele Grüße
von
departure69
LÖSUNG 09.12.2020 um 10:23 Uhr
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung
Der Yubico-Supporter war wirklich schwach und argumentierte immer "das ist Microsoft, damit haben wir nichts zu tun, da können wir leider nicht helfen".Ausdauer, ja, ein wenig hat's gedauert. Ich habe aber nicht lange rumgemacht, sondern bin irgendwann zufällig drüber gestolpert, nachdem auf einem der vielen Rechner auch bei direktem Anschluss der Karte kein Smartcardsymbol im Gerätemanager auftauchte.
