Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Userverwaltung

Authentifizierung in Active Directory mitteld RFID-Karte

Mitglied: Venator

Venator (Level 1) - Jetzt verbinden

27.08.2011, aktualisiert 18.10.2012, 10057 Aufrufe, 6 Kommentare

Anmeldung von AD-Benutzern an AD-Clients mittels vorhandener RFID-Karte

Liebe Kolleginnen,
Liebe Kollegen,

wir nutzen ein Netzwerk mit ca. 200 Clients und 300 Nutzern in einem Active Directory.
Unsere Domänencontroler sind alle mit MS Windows Server 2008 R2 ausgestattet.

Derzeit melden sich alle unsere Benutzer mittels Benutzername + Passwort an den Clients an. Da bei uns jedoch sehr häufig Benutzerwechsel, sowie das Anmelden an an das Active Directory gekoppelte Kopierer, notwendig sind, wollte ich das ganze vereinfachen. Jeder unserer Mitarbeiter besitzt einen Mitarbeiterausweis, eine Plastikkarte mit integriertem RFID-Chip. Diese Karte wollte ich jetzt nutzen, um eine Anmeldung am System zu ermöglichen.

Mir stellt sich daher die Frage, wie ich die RFID-Karten zur Anmeldung nutzen kann, vorrausgesetzt ich statte jeden PC mit einem Kartenlesegerät aus. Gibt es eine Möglichkeit, das ActiveDirectory so zu gestalten, das ich einem AD-Benutzer, eine RDIF-Karte zuweise und sich dieser Benutzer daher in Zukunft mittels Benutzername + Passwort, sowie mittels seiner RFID-Karte anmelden kann?

Für Tipps wäre ich sehr Dankbar,
ein schönes WE,
Boris
Mitglied: StefanKittel
27.08.2011, aktualisiert 18.10.2012
Moin,
schau mal hier: http://www.administrator.de/forum/rfid-zur-anmeldung-an-windows-7-benut ...
Du bist ja nicht der Erste.
Stefan
Bitte warten ..
Mitglied: tikayevent
27.08.2011 um 16:51 Uhr
Es ist möglich, aber mit einer Wahrscheinlichkeit von 90% nicht mit den vorhandenen Karten.

Es gibt seit Windows 2000, sprich mit der Einführung des Active Directory, die Möglichkeit der SmartCard-Authentifizierung. Und es gibt kontaktlose Prozessorchipkarten, sprich SmartCards. Sprich du erzeugst für jeden Mitarbeiter ein Zertifikat, hinterlegst dieses auf der SmartCard und der Benutzer kann sich damit anmelden. Windows ist es dabei egal, ob es eine kontaktbehaftete oder eine kontaktlose Karte ist. Diese SmartCards arbeiten normal im Bereich von 13,56MHz.
Die Karten, die ihr als Mitarbeiterausweise nutzt sind mit der bereits erwähnten Wahrscheinlichkeit von 90% Speicherkarten auf Basis der EM4102 oder Mifare-Technik. Auf diesen Karten ist nur eine einmalige ID, angeblich weltweit einzigartig, hinterlegt, welche einfach nur ausgelesen wird. Damit sind diese nicht für eine SmartCard-Auth. einsetzbar, da die benötigte kryptographische Intelligenz fehlt.

Es gibt eine Möglichkeit, das würde aber einen kompletten Tausch der Karten erfordern. Es gibt Combo-Karten, welche eine kontaktbehaftete Prozessorchipkarte gleichzeitig aber auch einen EM4102 oder Mifare-Chip besitzen.
Bitte warten ..
Mitglied: StefanKittel
27.08.2011 um 19:06 Uhr
Und Du solltest bedenken, dass Du mit so einem System die Karte identifizierst und nicht die Person.
Wer die Karte hat, hat die "Macht".
Man sollte so ein Systen nur in Verbindung mit einem PIN oder Kennwort einsetzen und dann steltl sich die Frage ob es dann noch eine Erleichterung ist. Es ersetzt ja quasi nur den Benutuzernamen.
Stefan
Bitte warten ..
Mitglied: tikayevent
28.08.2011 um 01:20 Uhr
Das System ist schon sicherer, da es sich um eine 2-Factor-Auth. handelt. SmartCards sind auch mit einer PIN versehen, dadurch wird der Missbrauch verhindert. Es vereinfacht aber einiges, weil die PIN nur fünf nummerische Zeichen hat und nicht so häufig geändert werden muss wie ein Passwort, wobei das Passwort alphanummerisch mit Sonderzeichen sein und häufig geändert werden muss, damit das System sicher ist. Bei einer SmartCard muss man erstmal die Karte haben, um überhaupt einen Schritt weiter zu kommen.
Bitte warten ..
Mitglied: 99045
29.08.2011 um 12:28 Uhr
Zitat von StefanKittel:
Es ersetzt ja quasi nur den Benutuzernamen.

Na, das ist doch mal eine kreative Wortschöpfung.
Bitte warten ..
Mitglied: Venator
14.09.2011 um 11:47 Uhr
Okay...

Vorweg ersteinmal vielen Dank für die Antworten. Wirklich weiter bin ich jedoch nicht nicht.
Das eine Anmeldung ohne Pin, lediglich durch auflegen einer Karte, ein Sicherheitsrisiko darstellt, dessen bin ich mir bewusst, die Anforderungen kommen jedoch von übergeordneter Stelle und schon sind wir bei meinem Problem:

Wir haben als Ausgangsvoraussetzung Clients mit Windows 7,
RFID-Karten mit vorinstalliertem Zertifikat
Kartenlesegeräte der Firma Kobil.

Das Ziel ist nun, das bisher auf der Karte vorhandene Zertifikat bei zu behalten und quasi mit den bisher vorhandenen AD-Konten zu verknüpfen (ggf. manuell).
Einen Zugriff (zwecks abfrage) zu der Zertifikataustellenden Stelle haben wir leider nicht.

Ist hier etwas machbar, oder handelt es sich hierbei um einen hoffnungslosen Fall?

Viele Grüße,
Boris
Bitte warten ..
Ähnliche Inhalte
Drucker und Scanner
Scannen mit RFID-Authentifizierung
gelöst Frage von DerWoWussteDrucker und Scanner15 Kommentare

Moin Kollegen, da es mir in der Cebit-Scannerhalle nicht recht gelungen ist, etwas Passendes zu finden, frage ich einmal ...

Erkennung und -Abwehr
RFID und RADIUS
Frage von daniel-sidmaErkennung und -Abwehr6 Kommentare

Hallo, Brauche eure Hilfe bei folgender Aufgabe: Ein Enduser (Windows 7 Rechner) möchte sich auf einem Switch anstecken. Um ...

Windows Server
Anwendungsmigration - SQL-Authentifizierung in Domäne nicht möglich - Active Directory, Selektive Vertrauensstellung
Frage von ikkerusWindows Server2 Kommentare

Einen wunderschönen guten Tag, liebe Administratoren und Anwender, seit langem hilft mir administrator.de durch bestehende Beiträge mit zumeist sehr ...

Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit13 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...