Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Login mit SmartCard

Mitglied: FinneDEV

FinneDEV (Level 1) - Jetzt verbinden

04.01.2019 um 15:02 Uhr, 3584 Aufrufe, 10 Kommentare

Sehr geehrte Admins,

ich weiß das es schon vile Beiträge über dieses Thema gibt, aber leider werde ich aus den anderen in unserem Problem nicht schlau, daher der neue Beitrag.

Also das Problem ist, das wir bei uns in der Firma gerne eine 2FA einführen möchten, mit einer SmartCard.

So nun die Problemstellung:

- SmartCard bereits vorhanden (gekauft, Modell: Gemalto IDPrime MD 830)
- Reicht es wenn ich in der AD bei den Benutzern, die SmartCard anmeldung als Pflicht aktiviere?
- - Wenn ja, wie kann ich dann z.B. die PIN der Karte resetten wenn Sie jmd. vergessen hat
- - Reicht es dafür, ein Benutzer Zertifikat auf der Karte abzulegen?
- Wie kann ich den Win10Pro oder auch den Servern sagen, wenn die Karte nicht mehr eingesteckt ist, dass sich dieses Gerät ausloggen soll?

Und ebenso dazu die Frage, muss ich dafür noch bestimmte GPOs umstellen?

Reicht für unser vorhaben, die eigene Microsoft Lösung oder benötigen wir eine extra Software?


Ich weiß das sind ein paar mehr Sachen, aber ich hoffe Ihr könnt mir diesbezüglich weiterhelfen.
Ich freue mich schon auf Antworten. :D

Mit freundlichen Grüßen
FinneDEV | Fynn
Mitglied: Dani
04.01.2019 um 21:17 Uhr
Moin.
- Reicht es wenn ich in der AD bei den Benutzern, die SmartCard anmeldung als Pflicht aktiviere?
Die Karten sind noch der relativ günstige Teil. Zitat:
Die IDPrime MD Chipkarte wird im Microsoft FIM (früher ILM Identiy Lifecycle Manager/Certificate Lifecycle Manager) unterstützt und kann mit diesem Microsoft Card Management System verwaltet werden.

Ansonsten funktioniert die Pinverwaltung wie eine Passwortänderung bei Vista,W7,W8, W10. Eine PIN Entsperrung erfolgt über ein Challenge Response Verfahren gemäß MIicrosoft Spezifikation, die Response kann über freie Tools errechnet werden, oder über ein Karten-Verwaltungssystem. Für einen produktiven Einsatz ohne den FIM von Microsoft bieten wir vSEC:CMS von Versatile Security (versasec) oder für Enterprise auch Intercede MyID. CRYPTAS bietet diese Verwaltungslösungen an.
Passend dazu: IDPrime Smart Cards

Gruß,
Dani
Bitte warten ..
Mitglied: FinneDEV
07.01.2019 um 10:51 Uhr
Guten Morgen,

viele Dank für deine Antwort.

Aber wenn ich das FIM jetzt richtig verstehe, kann ich dort ebenso nur das PW des Benutzers ändern, aber sehe ebenso nirgends die Verwaltung der Smartcards.
Stimmt das? bzw. reden wir beide über das FIM (Forefront Identity Manager) was es nur bis Version 2010 gab?

Würde mich über eine kurze Rückmeldung freuen.

Mit freundlichen Grüßen
FinneDEV | Fynn
Bitte warten ..
Mitglied: Dani
07.01.2019, aktualisiert um 11:23 Uhr
Moin,
Stimmt das? bzw. reden wir beide über das FIM (Forefront Identity Manager) was es nur bis Version 2010 gab?
Richtig. der Nachfolger ist Microsoft Identity Manager (MIM). Dort gibt es u.a. ein Zertifikatsverwaltung. Mehr kann ich dir dazu leider nicht sagen. Wir nutzen zwischen keine Smartcards mehr, sondern Windows Logon + OTP.


Gruß,
Dani
Bitte warten ..
Mitglied: FinneDEV
21.01.2019 um 09:53 Uhr
Moin,

okay und sorry für die späte Rückmeldung, wr haben das jetzt ein bisschen anders mit den SmartCards gelöst.
Aber nun haben wir das Problem, das man sich nicht mehr auf den Smartphones am Exchange anmelden kann, da die sich nicht mehr mit Nutzername und Passwort authentifiezieren können.
Hast du da vielleicht auch eine Idee bzw. am besten eine Lösung?

Grüße,
Fynn
Bitte warten ..
Mitglied: Dani
21.01.2019 um 13:19 Uhr
Moin,
okay und sorry für die späte Rückmeldung, wr haben das jetzt ein bisschen anders mit den SmartCards gelöst.
wie habt ihr es gelöst?

Hast du da vielleicht auch eine Idee bzw. am besten eine Lösung?
Ohne die Lösung zu kennen wodurch das Exchangeproblem verursacht müsste ich raten. Das tue ich sehr ungern.


Gruß,
Dani
Bitte warten ..
Mitglied: FinneDEV
21.01.2019 um 17:58 Uhr
Hey,

also wir haben nun in der Domäne eingestellt, das der Login nur via SmartCard möglich ist, ohne spezielle Software.
Damit haben wir fast unser Ziel erreich, es ist zwar schwer mit dem Reset des Kennworts, aber das ist mit den Minidrivern der Karte machbar.

Nun haben wir aber nicht bedacht, dass wir ja auch E-Mails auf dem Handy empfangen möchten, wo man ja keine SmartCard "einstecken" kann.
Somit haben wir jetzt nicht die Möglichkeit, über das Handy die Mails zu bearbeiten oder zu lesen.
Was definitief funktionieren muss.

Nun da ist unsere Lösung und das daurch entstandene Problem.

Hoffe du hast da eine Idee.

Grüße,
Fynn
Bitte warten ..
Mitglied: Dani
21.01.2019 um 19:06 Uhr
Moin,
Hoffe du hast da eine Idee.
Nicht fertig geplant - wieder einmal. Da wirst du wohl um eine 3rd Party Lösung nicht drumrum kommen. Sprich über einen Agent wird die Anmeldung am Client modifiziert. So dass die Eigenchaften des Benutzers im Active Directory nicht verändert werden müssen.


Gruß,
Dani
Bitte warten ..
Mitglied: FinneDEV
15.02.2019 um 10:52 Uhr
Guten Morgen,

danke für die Rückmeldung.
Und Entschuldiung für meine späte Rückmeldung.

Kennst du einen Agent der die Authentifizierung unterstützt?
Weil ich suche aktuell noch den Richtigen.

Ich freue mich über eine Antwort. :D

Mit freundlichen Grüßen
FinneDEV | Fynn
Bitte warten ..
Mitglied: Dani
06.03.2019 um 09:13 Uhr
Moin,
Kennst du einen Agent der die Authentifizierung unterstützt?
schau dich bei Safenet Aladdin um. Ist allerdings kein günstiger Spaß.


Gruß,
Dani
Bitte warten ..
Mitglied: tobinator1991
08.07.2019 um 16:06 Uhr
Moin zusammen,
ich habe diese Anleitung genommen: https://pivkey.zendesk.com/hc/en-us/articles/115002522991-Setting-up-Cer ...

Soweit war alles klar, nur beim ausrollen bekomme ich den Fehler das die Pin meiner Smartcard falsch ist (Gemaltoo ID Prime 830)
Auf Nachfrage beim Herrsteller lautet dieser standardmäßig 0000.
Nun ist meine Frage ob ihr vielleicht noch eine Idee habt.

Danke schon mal.
Bitte warten ..
Ähnliche Inhalte
Windows 8
Smartcard o. Chipkarte Login
Frage von michi-ffmWindows 81 Kommentar

Hallo Zusammen, hat jemand Erfahrungen mit Smartkarten/Chipkarte zum einloggen von einer Windows Workstation? Wir würden gerne alle User mit ...

Windows 10

Windows 10 Smartcard Login ohne Domäne?

gelöst Frage von anteNopeWindows 102 Kommentare

Hallo zusammen, ich habe hier folgendes Szenario: 2 lokale Rechner Windows 10 Pro x64 Kein Mitglied einer Domäne (es ...

Windows Server

Server 2016 - Smartcard Login auf Terminalserver

gelöst Frage von PagemanWindows Server5 Kommentare

Hallo liebe Profis, vielleicht könnt Ihr mir ja helfen. Ich versuche meinen Terminalserver die Anmeldung via Smartcard beizubringen. Leider ...

Windows 10

BitLocker mit Smartcard??

gelöst Frage von trallerWindows 1012 Kommentare

Hallo, ist folgendes unter Windows 10 mit BitLocker möglich? Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard Wenn SmartCard drin, soll ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 10 StundenAdministrator.de Feedback4 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 4 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen15 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Speicherkarten
Multi USB Stick erstellen
Frage von Ghost108Speicherkarten15 Kommentare

Guten Morgen zusammen, ich würde gerne einen Multi USB Stick erstellen (bootmöglichkeit mehrer ISOs), welcher sowohl Legacy als auch ...