Praktische erfahrungen mit einer Chipkarte

[Zeichenfolge 10]

Hey

Gibt es hier Leute die in der Firma oder Zuhause ein Login/ Arbeiten mit einer Chipkarte/ Smartcard realisiert haben und darüber sprechen wollen?

Danke

[blub 115]

ja, habe ich für die Firma bzw. unsere Kunden gemacht. Was interessiert dich denn?

 

blub

[Zeichenfolge 10]

Was mich interessiert ist welche möglichkeiten es gibt um:

1) offline das zu überprüfen

2) das man gewisse Karten für Gewisse Gruppen freischaltet.

Fiktives Beispiel: Gruppe Lehrer und Gruppe Schüler, Lehrer darf überall rein und Schüler nur an Schüler Pcs. Das ganze ohne AD umgebung.

3) Wie kann man eine grosse Masse von Karten "erzeugen"?

Zb ab den ersten Stecken gillt die Karte 12Monate lang.

[blub 115]

OK,

 

1) "offline" passiert dasselbe wie mit Username/PW-Anmeldungen: Wenn sich ein Anwender einmal erfolgreich angemeldet hat, wird sein Profil gecached. Versucht er sich offline anzumelden, wird Username/ PW oder die Gültigkeit des Zertifikats gegen die gecachten Credentials im OfflineProfil geprüft

 

2) Gewisse Karten für gewisse Gruppen freischalten: Wer die PIN besitzt, kommt an den Inhalt der Smartcard

Wer sich wo anmelden darf, wird in AD-Umgebung über Gruppenmitgliedschaften und GPOs geregelt, unabhängig von der Art der Authentisierung. Ohne AD-Umgebung ist Creativität und jede Menge Masochismus nicht nur für diese Detailfrage erforderlich

 

3) 12 Monate Laufzeit erreichst du mit der entsprechenden Laufzeit des verwendeten Zertifikats

Wie kann man eine große Masse an Karten erzeugen? Das ist eine Prozessfrage: kann man so nicht pauschal beantworten, ohne vorher die Prozesse definiert zu haben

 

vielleicht hilfts dir weiter

blub

bearbeitet 23. Juni 2012 von blub

[Zeichenfolge 10]

1) "offline" passiert dasselbe wie mit Username/PW-Anmeldungen

Mit den unterschied das der User seine Zugangsdaten nicht kennt.

2) Wer sich wo anmelden darf, wird in AD-Umgebung über Gruppenmitgliedschaften und GPOs geregelt, unabhängig von der Art der Authentisierung. Ohne AD-Umgebung ist Creativität und jede Menge Masochismus nicht nur für diese Detailfrage erforderlich

ein AD ist auch ein kostenfaktor den du nicht unterschätzen solltest. Eine Professionelle umgebung rechnet sich leider nicht oft.

12 Monate Laufzeit erreichst du mit der entsprechenden Laufzeit des verwendeten Zertifikats

Das ist mir klar nur kann man das so machen wie man es von einen CityTicket kennt das du den Fahrschein in den entwerter steckst und dann rennt er 24h. Ob du ihm am Montag oder in 6Monaten entwertest ist egal er rennt fix 24h.

Wie kann man eine große Masse an Karten erzeugen? Das ist eine Prozessfrage: kann man so nicht pauschal beantworten, ohne vorher die Prozesse definiert zu haben

Eben muss man jede Karte einzeln stecken oder kann man es so machen wie man es vom Sat Revicer kennt das die Karte mit den ersten Stecken seine bestimmung findet?

[blub 115]

Eben muss man jede Karte einzeln stecken oder kann man es so machen wie man es vom Sat Revicer kennt das die Karte mit den ersten Stecken seine bestimmung findet?

 

Bei den gängigen Cardmanagemnet Systemen kann ein User ein "Self Portal" im Intranet aufrufen und sich seine Karte selbst brennen. Aber wenn bereits der Betrieb eines ADs ein zu hoher Kostenfaktor ist, vergiß eine Smartcardlösung ganz einfach.

 

Evtl. ist Aladdin für dich geeignet. Statt Smartcards benutzt Aladdin USB-Sticks, um Zertifikate zu speichern. Aladdin ist meines Wissens für kleinere "kostenbewusste" Umgebungen geeignet.

Ich habe mir vor ca. 2 jahren eine Präsentation von denen gesehen, mehr aber auch nicht.

eToken Authentisierung Passwort-Management USB-Key . ALADDIN EUROPE

 

blub

 

blub

[NorbertFe 2.016]

AD ist auch ein kostenfaktor den du nicht unterschätzen solltest. Eine Professionelle umgebung rechnet sich leider nicht oft.

 

Aha, und das ist jetzt eine pauschale Feststellung?

[Zeichenfolge 10]

Aha, und das ist jetzt eine pauschale Feststellung?

Kommt darauf an für was. Wenn du bedenkst das du ein Produkt verkaufen musst das sprichwörtlich nichts kosten darf und auf der anderen seite sagst du man soll ein RZ aufziehen ist das nicht gerade einfach eine lösung zu finden.

[NorbertFe 2.016]

Und welche Schlussfolgerung ziehst du jetzt daraus? Du stellst die frage nach smartcard Anmeldung und setzt keinerlei Fakten daneben, ausser dass ad zu teuer ist? Sehr merkwürdig. Da wäre es imho sinnvoller, wenn du deine Anforderungen oder Eckdaten bekannt geben würdest.

 

Bye

Norbert

[Zeichenfolge 10]

Nein das war nur als beispiel gedacht.

Ich würde gerne zuhause die Anmeldung via RDIF, Smardcard durchführen aber kein AD dafür einsetzen. (Ausser ich nehme auch den Exchance dazu).

[lefg 276]

Hallo,

 

ich bin erstaunt.

 

Beitrag #3 entnehme ich, es handele sich auf eine Schulungsumgebung. Die Lizenzkosten für Server und CALs dürften für Schullizenzen doch in überschaubarer Grösse sein.

 

Benötig nicht auch eine Anmeldung per Smartcard ein AD zur Authenfizierung? Die Smartcard ersetzt doch nur die händische Eingabe des Benutzers, oder?

[Zeichenfolge 10]

Beitrag #3 entnehme ich, es handele sich auf eine Schulungsumgebung.

Das war nur ein beispiel.

Die Smartcard ersetzt doch nur die händische Eingabe des Benutzers, oder?

Jain und der benutzer hat keine zugangsdaten.

[lefg 276]

...der benutzer hat keine zugangsdaten.

 

Es gibt keinen Zettel mit dem Password drauf unter der Tastatur. :)

 

Mich hat die Schule erstaunt, die haben i.d.R. nicht das Geld oder geben es nicht aus für sowas wie Kartenleser, Karten. Sie benötigen sowas nicht wirklich. Es gibt wichtigere Dinge wie Beamer und interaktive Tafeln.

[blub 115]

.Jain und der benutzer hat keine zugangsdaten.

 

Der Benutzer hat mit der PIN die Zugangsdaten zu seiner Karte, auf der wiederum das Zertifikat und der PrivateKey gespeichert sind, sofern wir überhaupt von einer zertifikatsbasierten Anmeldung sprechen. Nur irgendjemand muss das Zertifikat von der Karte prüfen, was im Normalfall ein DC ist.

Da der TO offensichtlich eher eine Lösung für den Heimgebrauch als für den professionellen Einsatz wünscht, muß ich mich mangels Erfahrung aus der Diskussion zurückziehen.

 

blub

[Zeichenfolge 10]

grrr ich möchte nicht ausfallend werden aber ich habe geschrieben das es mit der Schule nur ein Beispiel war!!!

 

Was mich interessiert ob es die möglichkeit gibt ein Zertifkat 12Monate nach der ersten benutzung verfallen zu lassen oder am Client ein Zertifikat einzuspielen?