Smartcard Authentication - Secure & Easy

Anmeldung an MS-Windows

MS-Windows unterstützt seit Windows-2000 die Anmeldung mittels Smartcards an einer Domäne. Hierzu sind (vereinfacht dargestellt) folgende Voraussetzungen erforderlich:

Auf der verwendeten Karte muss sich ein Windows-Logon Zertifikat befinden.
Die Anmeldung muss an einem Active Directory Server erfolgen.
Für die verwendete Karte wird ein CSP-Treiber (Cryptographic Service Provider) benötigt, der wiederum von Microsoft zertifiziert worden sein muss. Der Einsatz von nicht zertifizierten CSPs ist auch dann nicht möglich, wenn der Anwender auf eine Microsoft-Zertifizierung keinen Wert legt, da Microsoft die Benutzung von nicht zertifizierten CSPs aus Sicherheitsgründen technisch unterbindet.

Smartcard Authentication - Secure & Easy unterstützt die von Microsoft vorgesehene Methode der Smartcard-Anmeldung NICHT, sondern implementiert stattdessen ein Verfahren, das keinen CSP benötigt und das auch keinen Active Directory Server voraussetzt. Smartcard Authentication - Secure & Easy arbeitet mit allen Zertifikaten, die dem X509-Standard entsprechen. Das sind faktisch alle Zertifikate. Unterstützt wird sowohl die Anmeldung an einer Windows-Domäne als auch am lokalem Arbeitsplatz.

Soll eine Anmeldung an einer Domäne erfolgen, muss Smartcard Authentication - Secure & Easy Kontakt mit einem für diese Domäne zuständigen Server aufnehmen, da ja gegenüber diesem Rechner die Identität des anzumeldenden Benutzers bewiesen werden soll. Deshalb enthält Smartcard Authentication - Secure & Easy ein Programm, dass auf einem Domänen-Server installiert werden muss und das nach erfolgter Authentifizierung den Zugang zur Domäne gewährt.

Derzeit ist dieses Server-Programm nur für die Plattformen Linux und Sun-Solaris verfügbar und kann dort auch nur in Zusammenarbeit mit einem Samba-Server benutzt werden. Dies hat zur Folge, dass derzeit eine Anmeldung an einer Windows-Domäne nur erfolgen kann, wenn diese mittels Samba auf einer der beiden erwähnten Plattformen realisiert wurde.

Die Erstellung eines Windows-Dienstprogrammes, dass in gleicher Weise die Aufgabe dieses Server-Programmes auf einem Active Directory Server übernimmt, ist derzeit geplant. Damit wird in einer zukünftigen Version von Smartcard Authentication - Secure & Easy auch die Anmeldung an einer mit einem Active Directory realisierten Windows-Domäne erfolgen können.

Für die lokale Anmeldung ist keine Windows-Domäne und somit auch kein Server-Prozess erforderlich. Smartcard Authentication - Secure & Easy unterstützt derzeit nur die Anmeldung als lokaler Administrator. Die Möglichkeit sich lokal als der Benutzer anzumelden, dessen Name sich im Zertifikat der Karte befindet, wird in einer der nächsten Versionen von Smartcard Authentication - Secure & Easy ergänzt werden.