TPok 11 Geschrieben 10. März 2015 Melden Teilen Geschrieben 10. März 2015 Hallo, ich bin auf der Suche nach einer sicheren Authentifizierungslösung für eine Multiuser-Produktionsumgebung. Ich denke da zum Beispiel an Smartcards, da User+Passwort, so wie Microsoft sich das denkt, nicht praktikabel ist. Generell wird es wohl mit Bordmitteln schwierig. Im Folgenden eine kurze Beschreibung der Umgebung und Anforderungen. Vielleicht kennt ja einer einen Anbieter / ein Produkt / einen Ansprechpartner, der hier weiterhelfen kann. Ich bin für jeden Tipp dankbar. Gegeben ist eine Produktionsumgebung mit einer Reihe von Prozessrechnern und Prüfsystemen. Alles ist Windows-basiert, die meisten Systeme sind Domain-joined. Die Systeme laufen während der Produktionszeit ununterbrochen mit der selben Windowsanmeldung durch, da die hierauf befindliche Software dies verlangt (kontinuierliche Prozessüberwachung, usw.). Eine Windows Nutzeran- und Abmeldung mit unterschiedlichen Konten ist nicht möglich. Allerdings wechselt das Bedienpersonal mehrfach täglich. Folgende Ziele sollen umgesetzt werden: Wenn gerade kein Bediener am PC arbeitet soll der PC (die Oberfläche) gesperrt sein. Es gibt eine Gruppe berechtigte Bediener, die die Oberfläche entsperren können (z.B. durch Stecken Ihrer Smartcard). Dabei soll die Berechtigung abgeprüft werden und protokolliert werden, welcher Bediener wann am System gearbeitet hat. Das ganze muss unabhängig von der (immer aktiven) Windowsanmeldung sein. Es gibt mehrere solcher Systeme und man muss festlegen können, welcher Bediener, an welchen Systemen arbeiten darf. Weitergehende granulare Berechtigungen (z.B. dass die Großzahl der Bediener das bereits angemeldete System nur entsperren darf und wenige Berechtigte auch das System initial anmelden und wieder herunterfahren dürfen) sind wünschenswert. Das jetzige System, es ist immer ein Benutzer angemeldet und alle kennen das Passwort, ist verständlicherweise nicht zufriedenstellend. Auf der einen Seite glaube ich, dass es mehrere Unternehmen mit diesen Herausforderungen gibt, auf der anderen Seite sind wir damit schon ein ganzes Stück vom Windows-Konzept entfernt. Ich hoffe, jemand hat schon mal etwas in dieser Art gesehen. Danke für eure Unterstützung. GrußStephan Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 10. März 2015 Melden Teilen Geschrieben 10. März 2015 Moin, grundsätzlich liegt der Fehler im System hier natürlich nicht bei Microsoft, sondern bei dem Hersteller der Applikationen bzw. bei der Art, wie sie genutzt werden. Software der Art, wie du sie beschreibst, sollte als Dienst laufen und nicht in einer interaktiven User-Session. Dann würde sich das ganze Problem gar nicht stellen. Spontan käme mir bei deinem Szenario aber Fast User Switching in den Sinn, d.h. das Bedienpersonal nutzt nicht die bestehende Session, sondern öffnet sich eigene parallel. Das sollte auch mit Smartcards funktionieren. Konkrete Erfahrungen habe ich damit aber nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
TPok 11 Geschrieben 10. März 2015 Autor Melden Teilen Geschrieben 10. März 2015 (bearbeitet) Hallo Nils, ich stimme dir voll und ganz zu. Der Fehler liegt natürlich nicht bei Microsoft, sondern an dem Konzept, wenn ein P(ersonal)C(omputer) nicht mehr personal=persönlich genutzt wird. Das, was ich hochtrabend als "Prozesssoftware" bezeichnet habe, kann auch ein einfaches Prüfprogramm sein, welches ein PC-basiertes Testsystem ansteuert. Da gibt es einen Einrichter, der fährt das System hoch, lädt die benötigte Software, stellt Konfigurationen ein, weißt die Funktionsfähigkeit an einem Prüfmuster nach und gibt den Arbeitsplatz dann so mit Unterschrift frei. Danach müssen Werker daran arbeiten (auch mehrere nacheinander in mehreren Schichten). Ein Abmelden / Umloggen / etc. ist hier kontraproduktiv und nicht erwünscht, da damit der eingerichtete Zustand des Arbeitsplatzes zunichte gemacht wird. Fast-User-Switching löst diese Problem leider nicht. Solange ein Werker an dem Platz arbeitet, ist auch alles ok. Muss dieser aber mal Pipi ;) oder es gibt Leerlaufzeiten in der Produktion, soll der Platz aber vor Manipulation (durch einen bösen Paketboten oder so) gesperrt sein. So ungewöhnlich ist diese Anforderungen in einem Produktionsunternehmen eigentlich nicht. Leider sind hier bloß auch immer mehr Produktionssysteme PC-basierend, obwohl das Gesamtsystem PC/Windows und die damit verbundenen Sicherheitskonzepte in diesem Umfeld oft konterkariert werden. Gruß Stephan bearbeitet 10. März 2015 von TPok Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. März 2015 Melden Teilen Geschrieben 10. März 2015 Hallo Stephan, Ich hatte ähnliche Anforderungen, allerdings in einer Citrixumgebung. Wir haben diese mit Fingerprint-Authentifizierung (Digital Persona) gelöst techn. Ansprechpartner war: https://www.mtrix.de/portfolio/digital-persona/ evtl. ist die Kiosk-Funktionalität etwas für dich. Ein Anruf schadet sicher nicht :) blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.