taedris1996
Goto Top

Chip oder Smartcard Login für Terminalserver mit Passwortänderung

Hallo liebe Community,

Wir haben in unserem Unternehmen vor unsere Produktionsabteilung mit circa 200 Mitarbeitern auszustatten mit einem RFID / NFC Windows Login auf Windows Terminal Server 2016.

Alle Mitarbeiter erhalten demnächst einen personalisierten Zugang, was bisher noch nicht der Fall war. Da auf den PCs in der Produktion ausschließlich Maschinensoftware laufen soll,
existiert eine Terminalserverumgebung für personalisiertes Arbeiten.

Unsere Zugangchips fürs Gebäude beherrschen RFID und man könnte problemlos z.B. mit dem Produkt ID.Logon von Mada (Rohos) einen Login für Terminalserver abbilden.

Der Mitarbeiter baut eine Verbindung zum Maschinen-PC mit einem Maschinen-Benutzer auf und soll anschließend über eine Verknüpfung per mstsc.exe (remotedesktop) sich dann auf den Terminalserver einloggen.

Jetzt zum Problem:

Alle 90 Tage erfolgt bei uns eine Kennwortänderung und diese ist Pflicht.

Eine Kennwortänderung muss sowohl im Active Directory als auch auf dem Medium geschehen. In dem Fall existiert eine Schlüsseldatei für jeden einzelnen Chip die auf einer Freigabe des Servers liegt.

Meine Frage:

Gibt es eine Lösung für einen NFC / RFID Login, der eine Kennwortänderung unterstützt und das über Remotedesktop? Es darf auch gerne ein anderes Medium sein als unsere Hausinternen Zugangschips. Wichtig ist das eine Passwortänderung nach Ablauf möglich ist und die Passwörter zwischen Active Directory und Medium synchron ist..

Vielen Dank im Voraus schonmal

Gruß

Content-Key: 562012

Url: https://administrator.de/contentid/562012

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 31.03.2020 um 10:32:38 Uhr
Goto Top
Moin,

"das Medium", also dein RFID/NFC Chip, speichert doch keine Passwörter, es IST das Passwort - bzw. der 2te Teil des Passworts.

Oder meinst die den 2FA Pin den man z.B. in ID.Login aktivieren kann?

lg,
Slainte
Mitglied: Taedris1996
Taedris1996 31.03.2020 um 10:40:46 Uhr
Goto Top
Hallo,

Entschuldigung ich habe mich nicht klar ausgedrückt.

Also das Kennwort wird über Active Directory erstellt und der Anwender weiß davon ( allein schon wegen Anmeldung an OWA von extern )
Es ist keine 2FA. In unserer Teststellung von ID.Logon erstellt der User eine remotedesktop verbindung auf den Terminalserver und legt dann seinen Chip auf den Kartenleser der per USB angeschlossen ist.

MfG
Mitglied: SlainteMhath
SlainteMhath 31.03.2020 um 11:06:32 Uhr
Goto Top
Nochmal: auf dem Chip ist kein Kennwort... deswegen auch KartenLESER.

Vielleicht überdenkst/überarbeitest du nochmal deine Frage.
Mitglied: Taedris1996
Taedris1996 31.03.2020 um 11:22:09 Uhr
Goto Top
Ja der Chip kommuniziert mit der der Freigabe auf dem Server. Das hatte ich aber oben auch erwähnt. Auf dieser Freigabe existiert für jeden Zugangschip ein Keyfile und anhand dessen findet der Abgleich statt. Das Thema hatte sich eigentlich erledigt da herstellerseitig keine Lösung für unser geplantes Konstrukt existiert.

Daher meine Frage ob es eine alternative Lösung / alternatives Produkt gibt bzw. ob da bereits jemand eine Erfahrung gemacht hat mit einer ähnlichen Handhabung

VG
Mitglied: Tezzla
Tezzla 31.03.2020 aktualisiert um 12:55:14 Uhr
Goto Top
Ich würde eher dazu übergehen eine passwortlose bzw. 2FA Institution systemweit zu etablieren.
Vom Produkt her kann ich ESET 2FA empfehlen, bzw. mittlerweile MFA: https://www.eset.com/de/business/secure-authentication/
Funktioniert auch mit Yubikeys oder Handy App.

Wenn ihr da mehr Infos wollt, gerne offiziell oder per PN.

VG
Tezzla
Mitglied: Taedris1996
Taedris1996 28.04.2020 um 11:54:30 Uhr
Goto Top
Hallo,

Auch eine sehr gute Idee, aber leider nicht erwünscht bei uns im Haus.

Wir haben das ganze Thema mit Chip/Key Authentifizierung aus Investitionsgründen sowieso bis auf weiteres abgesagt..