Smartcard Authentication - Secure & Easy

Anmeldung an MS-Windows

MS-Windows unterstützt seit Windows-2000 die Anmeldung mittels Smartcards an einer Domäne. Hierzu sind (vereinfacht dargestellt) folgende Voraussetzungen erforderlich:

Smartcard Authentication - Secure & Easy unterstützt die von Microsoft vorgesehene Methode der Smartcard-Anmeldung NICHT, sondern implementiert stattdessen ein Verfahren, das keinen CSP benötigt und das auch keinen Active Directory Server voraussetzt. Smartcard Authentication - Secure & Easy arbeitet mit allen Zertifikaten, die dem X509-Standard entsprechen. Das sind faktisch alle derzeit verfügbaren Zertifikate. Unterstützt wird sowohl die Anmeldung an einer Windows-Domäne als auch am lokalem Arbeitsplatz.

Soll eine Anmeldung an einer Domäne erfolgen, muss Smartcard Authentication - Secure & Easy Kontakt mit einem für diese Domäne zuständigen Server aufnehmen, da ja gegenüber diesem Rechner die Identität des anzumeldenden Benutzers bewiesen werden soll. Deshalb enthält Smartcard Authentication - Secure & Easy ein Programm, dass auf einem Domänen-Server installiert werden muss und das nach erfolgter Authentifizierung den Zugang zur Domäne gewährt.

Derzeit ist dieser Authentifizierungs-Daemon für die Plattformen Linux und Sun-Solaris verfügbar und kann dort in Zusammenarbeit mit einem Samba-Server benutzt werden. Dies hat zur Folge, dass derzeit eine Anmeldung an einer Windows-Domäne nur erfolgen kann, wenn diese mittels Samba auf einer der beiden erwähnten Plattformen realisiert wurde.

Der Authentifizierungs-Daemon kann mit relativ geringem Aufwand nach Windows portiert werden. Damit wäre auch eine Authentifizierung gegenüber einem Windows basierten Active Directory möglich.

Für die lokale Anmeldung ist keine Windows-Domäne und somit auch kein Server-Prozess erforderlich. Smartcard Authentication - Secure & Easy unterstützt derzeit die Anmeldung als lokaler Administrator, dies allerdings nur dann wenn im verwendeten Zertifikat einen entsprechende Berechtigung vorhanden ist. Die Möglichkeit sich lokal als der Benutzer anzumelden, dessen Name sich im Zertifikat der Karte befindet, könnte ebenfalls implementiert werden.