Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Authentifizierung in Active Directory mitteld RFID-Karte

Mitglied: Venator

Venator (Level 1) - Jetzt verbinden

27.08.2011, aktualisiert 18.10.2012, 10464 Aufrufe, 6 Kommentare

Anmeldung von AD-Benutzern an AD-Clients mittels vorhandener RFID-Karte

Liebe Kolleginnen,
Liebe Kollegen,

wir nutzen ein Netzwerk mit ca. 200 Clients und 300 Nutzern in einem Active Directory.
Unsere Domänencontroler sind alle mit MS Windows Server 2008 R2 ausgestattet.

Derzeit melden sich alle unsere Benutzer mittels Benutzername + Passwort an den Clients an. Da bei uns jedoch sehr häufig Benutzerwechsel, sowie das Anmelden an an das Active Directory gekoppelte Kopierer, notwendig sind, wollte ich das ganze vereinfachen. Jeder unserer Mitarbeiter besitzt einen Mitarbeiterausweis, eine Plastikkarte mit integriertem RFID-Chip. Diese Karte wollte ich jetzt nutzen, um eine Anmeldung am System zu ermöglichen.

Mir stellt sich daher die Frage, wie ich die RFID-Karten zur Anmeldung nutzen kann, vorrausgesetzt ich statte jeden PC mit einem Kartenlesegerät aus. Gibt es eine Möglichkeit, das ActiveDirectory so zu gestalten, das ich einem AD-Benutzer, eine RDIF-Karte zuweise und sich dieser Benutzer daher in Zukunft mittels Benutzername + Passwort, sowie mittels seiner RFID-Karte anmelden kann?

Für Tipps wäre ich sehr Dankbar,
ein schönes WE,
Boris
Mitglied: StefanKittel
27.08.2011, aktualisiert 18.10.2012
Moin,
schau mal hier: https://www.administrator.de/forum/rfid-zur-anmeldung-an-windows-7-benut ...
Du bist ja nicht der Erste.
Stefan
Bitte warten ..
Mitglied: tikayevent
27.08.2011 um 16:51 Uhr
Es ist möglich, aber mit einer Wahrscheinlichkeit von 90% nicht mit den vorhandenen Karten.

Es gibt seit Windows 2000, sprich mit der Einführung des Active Directory, die Möglichkeit der SmartCard-Authentifizierung. Und es gibt kontaktlose Prozessorchipkarten, sprich SmartCards. Sprich du erzeugst für jeden Mitarbeiter ein Zertifikat, hinterlegst dieses auf der SmartCard und der Benutzer kann sich damit anmelden. Windows ist es dabei egal, ob es eine kontaktbehaftete oder eine kontaktlose Karte ist. Diese SmartCards arbeiten normal im Bereich von 13,56MHz.
Die Karten, die ihr als Mitarbeiterausweise nutzt sind mit der bereits erwähnten Wahrscheinlichkeit von 90% Speicherkarten auf Basis der EM4102 oder Mifare-Technik. Auf diesen Karten ist nur eine einmalige ID, angeblich weltweit einzigartig, hinterlegt, welche einfach nur ausgelesen wird. Damit sind diese nicht für eine SmartCard-Auth. einsetzbar, da die benötigte kryptographische Intelligenz fehlt.

Es gibt eine Möglichkeit, das würde aber einen kompletten Tausch der Karten erfordern. Es gibt Combo-Karten, welche eine kontaktbehaftete Prozessorchipkarte gleichzeitig aber auch einen EM4102 oder Mifare-Chip besitzen.
Bitte warten ..
Mitglied: StefanKittel
27.08.2011 um 19:06 Uhr
Und Du solltest bedenken, dass Du mit so einem System die Karte identifizierst und nicht die Person.
Wer die Karte hat, hat die "Macht".
Man sollte so ein Systen nur in Verbindung mit einem PIN oder Kennwort einsetzen und dann steltl sich die Frage ob es dann noch eine Erleichterung ist. Es ersetzt ja quasi nur den Benutuzernamen.
Stefan
Bitte warten ..
Mitglied: tikayevent
28.08.2011 um 01:20 Uhr
Das System ist schon sicherer, da es sich um eine 2-Factor-Auth. handelt. SmartCards sind auch mit einer PIN versehen, dadurch wird der Missbrauch verhindert. Es vereinfacht aber einiges, weil die PIN nur fünf nummerische Zeichen hat und nicht so häufig geändert werden muss wie ein Passwort, wobei das Passwort alphanummerisch mit Sonderzeichen sein und häufig geändert werden muss, damit das System sicher ist. Bei einer SmartCard muss man erstmal die Karte haben, um überhaupt einen Schritt weiter zu kommen.
Bitte warten ..
Mitglied: 99045
29.08.2011 um 12:28 Uhr
Zitat von StefanKittel:
Es ersetzt ja quasi nur den Benutuzernamen.

Na, das ist doch mal eine kreative Wortschöpfung.
Bitte warten ..
Mitglied: Venator
14.09.2011 um 11:47 Uhr
Okay...

Vorweg ersteinmal vielen Dank für die Antworten. Wirklich weiter bin ich jedoch nicht nicht.
Das eine Anmeldung ohne Pin, lediglich durch auflegen einer Karte, ein Sicherheitsrisiko darstellt, dessen bin ich mir bewusst, die Anforderungen kommen jedoch von übergeordneter Stelle und schon sind wir bei meinem Problem:

Wir haben als Ausgangsvoraussetzung Clients mit Windows 7,
RFID-Karten mit vorinstalliertem Zertifikat
Kartenlesegeräte der Firma Kobil.

Das Ziel ist nun, das bisher auf der Karte vorhandene Zertifikat bei zu behalten und quasi mit den bisher vorhandenen AD-Konten zu verknüpfen (ggf. manuell).
Einen Zugriff (zwecks abfrage) zu der Zertifikataustellenden Stelle haben wir leider nicht.

Ist hier etwas machbar, oder handelt es sich hierbei um einen hoffnungslosen Fall?

Viele Grüße,
Boris
Bitte warten ..
Ähnliche Inhalte
Drucker und Scanner
Scannen mit RFID-Authentifizierung
gelöst Frage von DerWoWussteDrucker und Scanner15 Kommentare

Moin Kollegen, da es mir in der Cebit-Scannerhalle nicht recht gelungen ist, etwas Passendes zu finden, frage ich einmal ...

Windows Server

Anwendungsmigration - SQL-Authentifizierung in Domäne nicht möglich - Active Directory, Selektive Vertrauensstellung

Frage von ikkerusWindows Server2 Kommentare

Einen wunderschönen guten Tag, liebe Administratoren und Anwender, seit langem hilft mir administrator.de durch bestehende Beiträge mit zumeist sehr ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server

Active Directory - Umlaute ersetzen

gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...