27 Comments

  1. Guten Tag,

    wir überlgen bei uns auch sowas anzuschaffen bzw. einzurichten.

    Könnten Sie mir sagen welche Hardware (smartcard und reader ) Sie verwendet haben ?

    Viele Grüße und schon mal besten Dank

    Marcel

    • Hallo Marcel,

      für die Demo Umgebung habe ich “Gemalto IDPrime .NET 510” Karten und einen “SCM SRC3311” Reader verwendet. Beide sind aktuell nicht mehr neu verfügbar.
      Beim Reader gibt es nicht allzu viel worauf man achten muss, er sollte auch Karten beschrieben können (was aber so ziemlich jeder Reader kann und daher selten in der Produkbeschreibung mit aufgeführt wird) und am besten kein eigenes Pin Pad besitzen.
      Erfolgreich mit den so erstellen Karten habe ich die Reader “SCM SCR335”, “OmniKey 3121” und verschiedene intern in Geräten verbaute Reader getestet. Probleme hingegen hatte ich mit einem “Reiner SCT Secoder” mit Pin Pad. Hier lief die Pin Abfrage in einer Endlosschleife.

      Bei der Auswahl der Karte sollte es genügen darauf zu achten, dass Sie einen Minidriver benötigt. Bei Gemalto sind das alle Karten mit “.NET” im Namen, es gibt aber auch noch verschiedene andere Hersteller.

      Ich hoffe, das hilft dir schon mal weiteren.

      Tobias

    • Hallo Jan,

      wenn ich das richtig sehe handelt es sich hierbei um eine RFID Karte. Mit Kontaktlosen Karten habe ich bisweilen leider noch keine Tests durchgeführt und mir liegen auch keine sonstigen Erkenntnisse hierzu vor.
      Generell sollte es zwar möglich sein, die nach der Anleitung erstellten Nutzerzertifikate auf die Karte zu bringen, jedoch weiß ich nicht wie ein Windows System auf die Karte reagiert.

      Tut mir leid, dass ich dir keine definitive Aussage hierzu geben kann.

      Tobias

      #Update 29.10.2018
      Ich habe mich nochmal etwas umgesehen. Ich konnte keine RFID Karte finden welche einen Mini Treiber mit anbietet. Somit fallen diese Karten für einen Smartcard Login nach dieser Anleitung flach.

    • Vielen Dank für den Hinweis. Aktuell sind mir leider keine alternativen bekannt. Scheinbar hat Gemalto den Mini Driver Manager von deren Webseite entfernt. Ich habe noch ein Downloadarchiv gefunden welche eine funktionierende Version enthält. Dabei sollte aber immer die entsprechende Vorsicht wallten gelassen werden und stets geprüft werden was heruntergeladen wurde bevor es ausgeführt wird. Den Artikel habe ich entsprechend angepasst.

  2. Hallo, das ist ein nützlicher Tutorial. Zum Thema NFC und PIV: der Yubikey NEO (und der gerade erschienene Yubikey 5 NFC) ermöglicht die Zertifikatsbasierte Domänenanmeldung via USB und NFC, letzteres getestet mit einem ACR1252. Praktisch auch, dass so Laptops, Tablets u.ä. ohne eingebauten Smart Card Reader eingebunden werden können, da der Stick sein eigener Leser ist.

  3. Hallo,
    haben Sie eventuell Alternativen zu den von Ihnen genannten “Test-Komponenten”, Grund dafür ist, dass es die “Gemalto IDPrime .NET 510” so nicht mehr zu kaufen gibt und auch wohl fehlerhaft zu sein scheint. Da ich mir damit wirklich schwer tue Alternativen zu finden, die auch funktionieren könnten, habe ich gehofft, dass Sie mir mit Ihrer Erfahrung auf die Sprünge helfen könnten ^^

    Vielen Dank für das tolle Tutorial 🙂

    Vielen Dank im Voraus 😉

      • Hallo Herr Kraß-Westerink,

        vielen Dank für Ihre Hilfe… doch eine Frage hätte ich da noch^^

        Welches Lese-/schreibgerät nutzen sie in Verbindung mit Ihrer Smartcard?

        LG Torben

    • Generell sind die Gemalto Karten mit der Bezeichnung “MD” die Nachfolger der .NET Karten. Das “MD” steht hierbei für Minidriver und ist für die Verwendung des Microsoft Anmeldeproviders geeignet. Selbst habe ich die Karte zwar noch nicht testen können, aber da Herr Kraß-Westerink Sie bereits im Einsatz hat, sollten diese auch soweit funktionieren.

    • Aktuell muss ich gestehen, dass mir ein wenig die benötigte Zeit und Muße den Artikel stets auf dem aktuellen Stand zu halten. Daher freut es mich umso mehr zu sehen, dass sich auch andere Nutzer helfend zu Wort melden.
      An dieser Stelle erstmal ein großes Dankeschön für Ihre Mühen und dass Sie ihre Erkenntnisse auch mit allen anderen teilen.

  4. Hi Tobias!

    danke für diese 1A Anleitung die auch “mal eben” beinhaltet wie eine CA aufgesetzt wird. Ich steck zur Zeit total im SSO Dschungel drin in Verbindung Windows RDS und WebAccess.

    Jetzt die Challenge:

    Thin Client -> Authentifzierung eines Domänenbenutzers via Smartcard -> Passtrhough Login zum RDS.

    Müsste doch auch gehen, oder?

    Gemalto IDPrime MD 3811 + Classic 4k + Desfire EV1 &

    Gemalto IDBridge CT30

    Als Smartcard sowie Reader Lösung. Mit dem Minidriver unter Windows die Karte mit dem Domänenbenutzer Zertifikat beschreiben und gut ist. Muss die Windows CA eigentlich immer präsent sein für ausgestellte Zertifikate oder ist sie lediglich für die Ausstellung notwendig?

    LG und danke für deine Zeit! 🙂 🙂

    • Hallo Dennis,

      erst mal vielen Dank für die netten Worte.

      Ich habe selber aufgrund einer Kundenanfrage ein wenig mit einer Passthrough Authentifizierung mit Smartcard, aber im Zusammenhang mit dem Citrix Webinterface getestet. Es war eine Heidenkonfigurationsarbeit das Ganze in meiner Demo Umgebung ins laufen zubekommen, hat dann aber auch ganz gut funktioniert. Da RDWeb generell auch eine Passthrough Authentifizierung unterstützt, sollte es also auch in deiner Konstellation funktionieren (passende Internet Explorer Version vorausgesetzt).
      Ich würde mir an dieser Stelle aber eventuell die Frage stellen ob es überhaupt sinnvoll ist die Thin Clients mit in die Domäne aufzunehmen. Wenn sie nicht in der Domäne wären, könnte sich ein Default User (mit einfachen Userrechten) automatisch beim Systemstart anmelden und das RDWeb (oder eventuell sogar nur eine einfache RDP Datei, wenn alle den gleichen Desktop zugewiesen bekommen) öffnen. Die für den User stattfindende Authentifizierung fände dann ebenfalls nur an einer Stelle statt. Daraus ergeben sich aus meiner Sicht einige Vorteile. Der lokale am Client angemeldete User hat keinerlei Berechtigungen auf Domänenressourcen zuzugreifen. Das heißt, sollte sich dort ein Virus oder Verschlüsselungstrojaner einnisten, könnte er sich nicht mit den Domänennutzerberechtigungen im Netz ausbreiten. Wenn dann noch zusätzlich der in Windows Embedded Standard 7 enthaltene Schreibfilter EWF oder der UWF in neueren Versionen eingesetzt wird, könnte man sogar auf einen lokalen Virenschutz verzichten.
      Ein Nachteil wäre es hingegen, dass man keine Gruppenrichtlinien verteilen kann und diese manuell auf dem Client setzen müsste (wenn gewünscht).

      Ich muss gestehen, dass ich mir die Frage zu Verfügbarkeit der CA bisher nie gestellt habe, da Sie in allen bisher von mir installierten Systemen mit auf einem Domänencontroller oder einer anderen immer eingeschalteten Maschine installiert wurde. Wenn ich mich nicht Irre, sollte die CA aber die meiste Zeit online sein. Auf der CA sind Sperrlisten für die ausgestellten Zertifikate enthalten die von Zeit zu Zeit abgefragt werden müssen. Wenn die Sperrlisten auf den (Terminal-)Servern, ich habe im Hinterkopf 30 Tage lang, nicht mehr abgerufen werden können, werden die Zertifikate nicht mehr akzeptiert.

      Tobias

  5. Hi Tobias!
    Vielen Dank für die ausführliche Antwort und deine kostbare Zeit.

    Ich betreue bei uns auch die Demo- und Präsentationsumgebung. Die Thin Clients werden nur an Messeauftritten verwendet und haben erstmal keine weiteren Aufgaben außer, dass ich für die Messen nicht jedes mal 7- 10 Fat Clients manuell aufsetzen muss. (jaja …Deployment wäre das Stichwort..aber die Zeit fehlt einfach um mich einzuarbeiten. 🙂 )

    Weshalb ich einen Domänenbenutzer brauche:

    SSO beim RDS funktioniert soweit ich weiß nur mit Domäne und eine Collection musst du ja für OUs erreichbar machen. Das RDWeb ist nur die Kirsche oben drauf und “sollte funktionieren, wenn es einer sehen will”. Wichtig ist, dass die User per Smartcard am Thin Client auf den Terminalserver kommen.

    Ai ai ai… um so mehr ich sehe, um so weniger weiß ich…

    Danke für deine Antwort!

  6. Hi Tobias,
    tolle Erläuterung.

    Ein Frage: Ist die 2-FA z.B. am Server oder über RDP dann Pflicht oder nur eine Option?
    Also bekomm ich es irgendwie hin, das der Zugriff ausschließlich über 2-FA ermöglicht wird, Stichwort Secure-Login … Passwort klebt unter der Tastatur, aber der böse Hacker kommt trotzdem nicht rein :D.

    Viele Grüße
    Sven

    • Hallo Sven,

      die Authentifizierung mittels der Smartcard ist zunächst nur optional, kann aber über die Kontooption “Benutzer muss sich mit einer Smartcard Anmelden” in der Eigenschaftenseite (unter Konto) des AD-User-Objekts erzwungen werden.

      Besten Gruß,
      Tobias

  7. Moin,

    fange gerade an mich mit der Thematik zwecks Absicherung unserer Administratorenzugänge zu beschäftigen – daher eine vielleicht eher allgemeine Frage:

    Kann man Smartcard + Reader einfach durch einen USB Token ersetzen, oder stelle ich mir das zu einfach vor?

    Viele Grüße
    Paddy

    • Hallo Paddy,

      ja, man Kann Smartcard + Reader durch ein passendes USB-Token ersetzen. Um eine zertifiktasbasierte Authentifizierung zu ermöglichen, muss das USB Token in der Lage sein eine PKI Authentifizierung durchzuführen und es muss eine geeignete Middleware für Windows Systeme vorhanden sein.
      Aus meiner Erfahrung kann ich sagen, dass dies mit YubiKey 4 und 5 Sticks möglich ist, jedoch sollte der YubiKey Neo in diesem Zusammenhang gemieden werden da hier die maximale mögliche Zertifikatsgröße zu gering ist.

      Tobias

  8. Hallo, ich habe Ihre Anleitung genutzt und es war auch alles super nur leider bekomme ich das Zertifikat nicht auf meine Gemalto ID Prime 830 Karte.
    Die Standard Pin von dieser Karte soll 0000 sein.
    Die Karte ist nun nach mehreren Versuchen gesperrt und ich bekomme die Karte auch nicht über den Admin Key entsperrt.
    Vielleich weiß jemand von Ihnen wie ich da weiter komme.

    Danke schon mal im Vorraus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.