Hallo,
Ich bin derzeit an einer etwas harten Nuss.
Ich soll eine Authentifizierung von einem Windows-Rechner zu einem Linux-Rechner über Smartcard ermöglichen.
Nur Authentifizierte User dürfen gewisse Netzwerkservices nutzen.
Die Services selbst laufen ebenfalls über eine SSL-Verschlüsselung, weshalb die Sicherheit des ersten Tunnels weniger wichtig ist.
Die Wichtigkeit besteht vielmehr darin, durch die Smartcard o.ä. eine Zwei-Wege-Authentifizierung zu schaffen.
Also einmal Hardware + ein Benutzername mit Kennwort
Das Problem: Möglichst mit Boardmitteln bei Windows auskommen.
Ich dachte schon an Openvpn o.ä. allerdings ist dafür ein zusätzlicher VPN-Client erforderlich.
Da die Rechner, die später diese Services nutzen selbst verschiedene VPN-Clients installiert haben, schließt sich das eher aus.
Denn aus meiner Erfahrung kenne ich, dass mehrere VPN-Clients an einem Rechner Probleme schaffen können.
Ich dachte nun daran PPTP oder L2TP zu verwenden.
Von der Windows-Seite her ist das einfach zu konfigurieren.
Auch besteht hier, meiner Ansicht nach, die Möglichkeit, eine Smartcard zu nutzen (wir verwenden Aladdin Etoken-Pro)
Aber:
zu L2TP - soviel ich gesehen habe, wurde das L2TP-Projekt für Linux gestoppt.
Dazu kommt noch, dass es einen enormen Konfigurationsaufwand verlangt.
(Openswan, L2tP, PPP, Zertifikats-Server,...)
Und dann kann ich nicht sicher sein obs auch funktioniert.
PPTP hab ich schon zum Laufen gebracht.
Allerdings bisher nur mit MS-Chapv2, nicht mit EAP (für Smartcard)
Und hier steh ich an.
Ist das überhaupt möglich?
Gäbe es einen anderen Weg, ein Stück Hardware in den Authentifizierungsmechanismus einzubinden?
Es dürfte auch eine Kleinigkeit kosten, aber es muss funktionieren und einfach zu realisieren sein.
Es muss nicht Zertikatbasierend sein.
Ein langes Passwort oder RSA auf einem Chip würde genügen.
Lesezeichen