| Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding! |
Smart Card Logon in W2K+ |
| |
|
|
Voraussetzungen |
Für eine interaktive Smart Card Anmeldung sind Voraussetzungen der IT-Infrastruktur zu schaffen. Neben einem Active Directory und Server 2003 oder Windows 2000 Server basierten Domänencontroller ist eine PKI mit Active Directory Integration, die MS Enterprise CA bietet sich dazu idealerweise an, absolut notwendig.
Auf Clientseite ist XP Professional oder Windows 2000 Professional mit PC/SC konformen Smart Card Reader notwendig, während für die einzelnen Benutzer mit Konto im Active Directory eine Smart Card mit ihrem persönlichen Zertifikat und privatem Schlüssel benötigen. Natürlich ist ein entsprechender CSP (Cryptographic Service Provider) für den Zugriff auf die Smart Card auf dem Rechner notwendig.
Das Zertifikat muss auf einer Smart-Card-Zertifikatsvorlage erstellt werden, bzw. muss in der Extended Key Usage
Smart Card Logon als erlaubte Verwendung aufweisen.
|
Funktionsweise |
Statt eines Passworts gibt ein Benutzer seine PIN ein, wobei das Graphical Identification and Authentication Module (GINA) des Betriebssystems diese PIN zur Authentisierung des Benutzers gegenüber der Karte verwendet.
Wenn eine Smart Card gesteckt wird präsentiert das Winlogon Service dieses Ereignis der GINA, wonach der Benutzer zur Eingabe der PIN aufgefordert wird. Die GINA übergibt die PIN der Local Security Authority (LSA) die damit von der Smart Card das Zertifikat und öffentlichen Schlüssel erhält. Der Kerberos Security Provider setzt gemäß PKinit den Authenticator zusammen, lässt ihn von der Karte signieren und sendet dies gemäß PKinit an das KDC. Das KDC prüft den Principal Name des Zertifikates mit dem Principal Name im Active Directory Objekt sowie Zertifikat und Signatur. Die restliche Kommunikation läuft komplett gemäß Kerberos PKinit.
|
|
|
Zusätzliche Nutzungsmöglichkeiten |
Neben dem Windows Logon sind natürlich auch weitere Anwendungen für diese "2-Factor-Authentication" zu nutzen. Neben weiteren Authentisierungen für VPN, 802.1X - WLAN (WPA) oder Remote-Desktop-Verbindung ist auch die Signierung und Verschlüsselung von Nachrichten über S/Mime ein Anwendungsgebiet. Für Signier- und Verschlüsselungsfunktionen sollte man allerdings berücksichtigen, dass empfohlen wird, ein Schlüsselpaar nur für eine dieser Aufgaben
zu verwenden. Auch zu beachten ist, dass nach Verlust eines Schlüsselpaares damit verschlüsselte Daten nicht mehr zugänglich sind und deshalb eine Sicherung des privaten Schlüssels an anderer Stelle überlegt werden muss.
|
Offline Logon |
Kann ein Logon aus verschiedenen Gründen nicht online durchgeführt werden, funktioniert ein Offline Logon auch mit Smart Cards, bzw. zertifikatsbasiert. Während bei Passworten offline über ein Vergleich des Hash-Wertes des Passworts mit dem im LSA gespeicherten Hash-Wertes stattfindet, kommt bei Offline-Zertifikatsanmeldung der private Schlüssel so zum Einsatz, dass mit dem öffentlichen Schlüssel verschlüsselte "Credentials" entschlüsselt werden müssen. Bei richtiger Entschlüsselung ist das Offline Logon erfolgreich.
|
Linktipps |
|
|
|
Legal notice
