Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Authentifizierung in Active Directory mitteld RFID-Karte

Frage Microsoft Windows Userverwaltung

Mitglied: Venator

Venator (Level 1) - Jetzt verbinden

27.08.2011, aktualisiert 18.10.2012, 8610 Aufrufe, 6 Kommentare

Anmeldung von AD-Benutzern an AD-Clients mittels vorhandener RFID-Karte

Liebe Kolleginnen,
Liebe Kollegen,

wir nutzen ein Netzwerk mit ca. 200 Clients und 300 Nutzern in einem Active Directory.
Unsere Domänencontroler sind alle mit MS Windows Server 2008 R2 ausgestattet.

Derzeit melden sich alle unsere Benutzer mittels Benutzername + Passwort an den Clients an. Da bei uns jedoch sehr häufig Benutzerwechsel, sowie das Anmelden an an das Active Directory gekoppelte Kopierer, notwendig sind, wollte ich das ganze vereinfachen. Jeder unserer Mitarbeiter besitzt einen Mitarbeiterausweis, eine Plastikkarte mit integriertem RFID-Chip. Diese Karte wollte ich jetzt nutzen, um eine Anmeldung am System zu ermöglichen.

Mir stellt sich daher die Frage, wie ich die RFID-Karten zur Anmeldung nutzen kann, vorrausgesetzt ich statte jeden PC mit einem Kartenlesegerät aus. Gibt es eine Möglichkeit, das ActiveDirectory so zu gestalten, das ich einem AD-Benutzer, eine RDIF-Karte zuweise und sich dieser Benutzer daher in Zukunft mittels Benutzername + Passwort, sowie mittels seiner RFID-Karte anmelden kann?

Für Tipps wäre ich sehr Dankbar,
ein schönes WE,
Boris
Mitglied: StefanKittel
27.08.2011, aktualisiert 18.10.2012
Moin,
schau mal hier: http://www.administrator.de/forum/rfid-zur-anmeldung-an-windows-7-benut ...
Du bist ja nicht der Erste.
Stefan
Bitte warten ..
Mitglied: tikayevent
27.08.2011 um 16:51 Uhr
Es ist möglich, aber mit einer Wahrscheinlichkeit von 90% nicht mit den vorhandenen Karten.

Es gibt seit Windows 2000, sprich mit der Einführung des Active Directory, die Möglichkeit der SmartCard-Authentifizierung. Und es gibt kontaktlose Prozessorchipkarten, sprich SmartCards. Sprich du erzeugst für jeden Mitarbeiter ein Zertifikat, hinterlegst dieses auf der SmartCard und der Benutzer kann sich damit anmelden. Windows ist es dabei egal, ob es eine kontaktbehaftete oder eine kontaktlose Karte ist. Diese SmartCards arbeiten normal im Bereich von 13,56MHz.
Die Karten, die ihr als Mitarbeiterausweise nutzt sind mit der bereits erwähnten Wahrscheinlichkeit von 90% Speicherkarten auf Basis der EM4102 oder Mifare-Technik. Auf diesen Karten ist nur eine einmalige ID, angeblich weltweit einzigartig, hinterlegt, welche einfach nur ausgelesen wird. Damit sind diese nicht für eine SmartCard-Auth. einsetzbar, da die benötigte kryptographische Intelligenz fehlt.

Es gibt eine Möglichkeit, das würde aber einen kompletten Tausch der Karten erfordern. Es gibt Combo-Karten, welche eine kontaktbehaftete Prozessorchipkarte gleichzeitig aber auch einen EM4102 oder Mifare-Chip besitzen.
Bitte warten ..
Mitglied: StefanKittel
27.08.2011 um 19:06 Uhr
Und Du solltest bedenken, dass Du mit so einem System die Karte identifizierst und nicht die Person.
Wer die Karte hat, hat die "Macht".
Man sollte so ein Systen nur in Verbindung mit einem PIN oder Kennwort einsetzen und dann steltl sich die Frage ob es dann noch eine Erleichterung ist. Es ersetzt ja quasi nur den Benutuzernamen.
Stefan
Bitte warten ..
Mitglied: tikayevent
28.08.2011 um 01:20 Uhr
Das System ist schon sicherer, da es sich um eine 2-Factor-Auth. handelt. SmartCards sind auch mit einer PIN versehen, dadurch wird der Missbrauch verhindert. Es vereinfacht aber einiges, weil die PIN nur fünf nummerische Zeichen hat und nicht so häufig geändert werden muss wie ein Passwort, wobei das Passwort alphanummerisch mit Sonderzeichen sein und häufig geändert werden muss, damit das System sicher ist. Bei einer SmartCard muss man erstmal die Karte haben, um überhaupt einen Schritt weiter zu kommen.
Bitte warten ..
Mitglied: 99045
29.08.2011 um 12:28 Uhr
Zitat von StefanKittel:
Es ersetzt ja quasi nur den Benutuzernamen.

Na, das ist doch mal eine kreative Wortschöpfung.
Bitte warten ..
Mitglied: Venator
14.09.2011 um 11:47 Uhr
Okay...

Vorweg ersteinmal vielen Dank für die Antworten. Wirklich weiter bin ich jedoch nicht nicht.
Das eine Anmeldung ohne Pin, lediglich durch auflegen einer Karte, ein Sicherheitsrisiko darstellt, dessen bin ich mir bewusst, die Anforderungen kommen jedoch von übergeordneter Stelle und schon sind wir bei meinem Problem:

Wir haben als Ausgangsvoraussetzung Clients mit Windows 7,
RFID-Karten mit vorinstalliertem Zertifikat
Kartenlesegeräte der Firma Kobil.

Das Ziel ist nun, das bisher auf der Karte vorhandene Zertifikat bei zu behalten und quasi mit den bisher vorhandenen AD-Konten zu verknüpfen (ggf. manuell).
Einen Zugriff (zwecks abfrage) zu der Zertifikataustellenden Stelle haben wir leider nicht.

Ist hier etwas machbar, oder handelt es sich hierbei um einen hoffnungslosen Fall?

Viele Grüße,
Boris
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...