10
Windows Login mit SmartCard
Sehr geehrte Admins,
ich weiß das es schon vile Beiträge über dieses Thema gibt, aber leider werde ich aus den anderen in unserem Problem nicht schlau, daher der neue Beitrag.
Also das Problem ist, das wir bei uns in der Firma gerne eine 2FA einführen möchten, mit einer SmartCard.
So nun die Problemstellung:
- SmartCard bereits vorhanden (gekauft, Modell: Gemalto IDPrime MD 830)
- Reicht es wenn ich in der AD bei den Benutzern, die SmartCard anmeldung als Pflicht aktiviere?
- - Wenn ja, wie kann ich dann z.B. die PIN der Karte resetten wenn Sie jmd. vergessen hat
- - Reicht es dafür, ein Benutzer Zertifikat auf der Karte abzulegen?
- Wie kann ich den Win10Pro oder auch den Servern sagen, wenn die Karte nicht mehr eingesteckt ist, dass sich dieses Gerät ausloggen soll?
Und ebenso dazu die Frage, muss ich dafür noch bestimmte GPOs umstellen?
Reicht für unser vorhaben, die eigene Microsoft Lösung oder benötigen wir eine extra Software?
Ich weiß das sind ein paar mehr Sachen, aber ich hoffe Ihr könnt mir diesbezüglich weiterhelfen.
Ich freue mich schon auf Antworten. :D
Mit freundlichen Grüßen
FinneDEV | Fynn
ich weiß das es schon vile Beiträge über dieses Thema gibt, aber leider werde ich aus den anderen in unserem Problem nicht schlau, daher der neue Beitrag.
Also das Problem ist, das wir bei uns in der Firma gerne eine 2FA einführen möchten, mit einer SmartCard.
So nun die Problemstellung:
- SmartCard bereits vorhanden (gekauft, Modell: Gemalto IDPrime MD 830)
- Reicht es wenn ich in der AD bei den Benutzern, die SmartCard anmeldung als Pflicht aktiviere?
- - Wenn ja, wie kann ich dann z.B. die PIN der Karte resetten wenn Sie jmd. vergessen hat
- - Reicht es dafür, ein Benutzer Zertifikat auf der Karte abzulegen?
- Wie kann ich den Win10Pro oder auch den Servern sagen, wenn die Karte nicht mehr eingesteckt ist, dass sich dieses Gerät ausloggen soll?
Und ebenso dazu die Frage, muss ich dafür noch bestimmte GPOs umstellen?
Reicht für unser vorhaben, die eigene Microsoft Lösung oder benötigen wir eine extra Software?
Ich weiß das sind ein paar mehr Sachen, aber ich hoffe Ihr könnt mir diesbezüglich weiterhelfen.
Ich freue mich schon auf Antworten. :D
Mit freundlichen Grüßen
FinneDEV | Fynn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 397198
Url: https://administrator.de/contentid/397198
Printed on: April 25, 2024 at 21:04 o'clock
10 Comments
Latest comment
Moin.
Passend dazu: IDPrime Smart Cards
Gruß,
Dani
- Reicht es wenn ich in der AD bei den Benutzern, die SmartCard anmeldung als Pflicht aktiviere?
Die Karten sind noch der relativ günstige Teil. Zitat:Die IDPrime MD Chipkarte wird im Microsoft FIM (früher ILM Identiy Lifecycle Manager/Certificate Lifecycle Manager) unterstützt und kann mit diesem Microsoft Card Management System verwaltet werden.
Ansonsten funktioniert die Pinverwaltung wie eine Passwortänderung bei Vista,W7,W8, W10. Eine PIN Entsperrung erfolgt über ein Challenge Response Verfahren gemäß MIicrosoft Spezifikation, die Response kann über freie Tools errechnet werden, oder über ein Karten-Verwaltungssystem. Für einen produktiven Einsatz ohne den FIM von Microsoft bieten wir vSEC:CMS von Versatile Security (versasec) oder für Enterprise auch Intercede MyID. CRYPTAS bietet diese Verwaltungslösungen an.
Passend dazu: IDPrime Smart Cards
Gruß,
Dani
Guten Morgen,
viele Dank für deine Antwort.
Aber wenn ich das FIM jetzt richtig verstehe, kann ich dort ebenso nur das PW des Benutzers ändern, aber sehe ebenso nirgends die Verwaltung der Smartcards.
Stimmt das? bzw. reden wir beide über das FIM (Forefront Identity Manager) was es nur bis Version 2010 gab?
Würde mich über eine kurze Rückmeldung freuen.
Mit freundlichen Grüßen
FinneDEV | Fynn
viele Dank für deine Antwort.
Aber wenn ich das FIM jetzt richtig verstehe, kann ich dort ebenso nur das PW des Benutzers ändern, aber sehe ebenso nirgends die Verwaltung der Smartcards.
Stimmt das? bzw. reden wir beide über das FIM (Forefront Identity Manager) was es nur bis Version 2010 gab?
Würde mich über eine kurze Rückmeldung freuen.
Mit freundlichen Grüßen
FinneDEV | Fynn
Moin,
Gruß,
Dani
Stimmt das? bzw. reden wir beide über das FIM (Forefront Identity Manager) was es nur bis Version 2010 gab?
Richtig. der Nachfolger ist Microsoft Identity Manager (MIM). Dort gibt es u.a. ein Zertifikatsverwaltung. Mehr kann ich dir dazu leider nicht sagen. Wir nutzen zwischen keine Smartcards mehr, sondern Windows Logon + OTP.Gruß,
Dani
Moin,
okay und sorry für die späte Rückmeldung, wr haben das jetzt ein bisschen anders mit den SmartCards gelöst.
Aber nun haben wir das Problem, das man sich nicht mehr auf den Smartphones am Exchange anmelden kann, da die sich nicht mehr mit Nutzername und Passwort authentifiezieren können.
Hast du da vielleicht auch eine Idee bzw. am besten eine Lösung?
Grüße,
Fynn
okay und sorry für die späte Rückmeldung, wr haben das jetzt ein bisschen anders mit den SmartCards gelöst.
Aber nun haben wir das Problem, das man sich nicht mehr auf den Smartphones am Exchange anmelden kann, da die sich nicht mehr mit Nutzername und Passwort authentifiezieren können.
Hast du da vielleicht auch eine Idee bzw. am besten eine Lösung?
Grüße,
Fynn
Moin,
Gruß,
Dani
okay und sorry für die späte Rückmeldung, wr haben das jetzt ein bisschen anders mit den SmartCards gelöst.
wie habt ihr es gelöst? Hast du da vielleicht auch eine Idee bzw. am besten eine Lösung?
Ohne die Lösung zu kennen wodurch das Exchangeproblem verursacht müsste ich raten. Das tue ich sehr ungern.Gruß,
Dani
Hey,
also wir haben nun in der Domäne eingestellt, das der Login nur via SmartCard möglich ist, ohne spezielle Software.
Damit haben wir fast unser Ziel erreich, es ist zwar schwer mit dem Reset des Kennworts, aber das ist mit den Minidrivern der Karte machbar.
Nun haben wir aber nicht bedacht, dass wir ja auch E-Mails auf dem Handy empfangen möchten, wo man ja keine SmartCard "einstecken" kann.
Somit haben wir jetzt nicht die Möglichkeit, über das Handy die Mails zu bearbeiten oder zu lesen.
Was definitief funktionieren muss.
Nun da ist unsere Lösung und das daurch entstandene Problem.
Hoffe du hast da eine Idee.
Grüße,
Fynn
also wir haben nun in der Domäne eingestellt, das der Login nur via SmartCard möglich ist, ohne spezielle Software.
Damit haben wir fast unser Ziel erreich, es ist zwar schwer mit dem Reset des Kennworts, aber das ist mit den Minidrivern der Karte machbar.
Nun haben wir aber nicht bedacht, dass wir ja auch E-Mails auf dem Handy empfangen möchten, wo man ja keine SmartCard "einstecken" kann.
Somit haben wir jetzt nicht die Möglichkeit, über das Handy die Mails zu bearbeiten oder zu lesen.
Was definitief funktionieren muss.
Nun da ist unsere Lösung und das daurch entstandene Problem.
Hoffe du hast da eine Idee.
Grüße,
Fynn
Moin,
Da wirst du wohl um eine 3rd Party Lösung nicht drumrum kommen. Sprich über einen Agent wird die Anmeldung am Client modifiziert. So dass die Eigenchaften des Benutzers im Active Directory nicht verändert werden müssen.
Gruß,
Dani
Hoffe du hast da eine Idee.
Nicht fertig geplant - wieder einmal. Da wirst du wohl um eine 3rd Party Lösung nicht drumrum kommen. Sprich über einen Agent wird die Anmeldung am Client modifiziert. So dass die Eigenchaften des Benutzers im Active Directory nicht verändert werden müssen.Gruß,
Dani
Guten Morgen,
danke für die Rückmeldung.
Und Entschuldiung für meine späte Rückmeldung.
Kennst du einen Agent der die Authentifizierung unterstützt?
Weil ich suche aktuell noch den Richtigen.
Ich freue mich über eine Antwort. :D
Mit freundlichen Grüßen
FinneDEV | Fynn
danke für die Rückmeldung.
Und Entschuldiung für meine späte Rückmeldung.
Kennst du einen Agent der die Authentifizierung unterstützt?
Weil ich suche aktuell noch den Richtigen.
Ich freue mich über eine Antwort. :D
Mit freundlichen Grüßen
FinneDEV | Fynn
Moin,
Gruß,
Dani
Kennst du einen Agent der die Authentifizierung unterstützt?
schau dich bei Safenet Aladdin um. Ist allerdings kein günstiger Spaß. Gruß,
Dani
Moin zusammen,
ich habe diese Anleitung genommen: https://pivkey.zendesk.com/hc/en-us/articles/115002522991-Setting-up-Cer ...
Soweit war alles klar, nur beim ausrollen bekomme ich den Fehler das die Pin meiner Smartcard falsch ist (Gemaltoo ID Prime 830)
Auf Nachfrage beim Herrsteller lautet dieser standardmäßig 0000.
Nun ist meine Frage ob ihr vielleicht noch eine Idee habt.
Danke schon mal.
ich habe diese Anleitung genommen: https://pivkey.zendesk.com/hc/en-us/articles/115002522991-Setting-up-Cer ...
Soweit war alles klar, nur beim ausrollen bekomme ich den Fehler das die Pin meiner Smartcard falsch ist (Gemaltoo ID Prime 830)
Auf Nachfrage beim Herrsteller lautet dieser standardmäßig 0000.
Nun ist meine Frage ob ihr vielleicht noch eine Idee habt.
Danke schon mal.
