Tunnel - Windows zu Linux und Smartcard statt Passwort

[nocheiniggy]

Hallo,

Ich bin derzeit an einer etwas harten Nuss.
Ich soll eine Authentifizierung von einem Windows-Rechner zu einem Linux-Rechner über Smartcard ermöglichen.
Nur Authentifizierte User dürfen gewisse Netzwerkservices nutzen.
Die Services selbst laufen ebenfalls über eine SSL-Verschlüsselung, weshalb die Sicherheit des ersten Tunnels weniger wichtig ist.

Die Wichtigkeit besteht vielmehr darin, durch die Smartcard o.ä. eine Zwei-Wege-Authentifizierung zu schaffen.
Also einmal Hardware + ein Benutzername mit Kennwort

Das Problem: Möglichst mit Boardmitteln bei Windows auskommen.
Ich dachte schon an Openvpn o.ä. allerdings ist dafür ein zusätzlicher VPN-Client erforderlich.
Da die Rechner, die später diese Services nutzen selbst verschiedene VPN-Clients installiert haben, schließt sich das eher aus.
Denn aus meiner Erfahrung kenne ich, dass mehrere VPN-Clients an einem Rechner Probleme schaffen können.

Ich dachte nun daran PPTP oder L2TP zu verwenden.
Von der Windows-Seite her ist das einfach zu konfigurieren.
Auch besteht hier, meiner Ansicht nach, die Möglichkeit, eine Smartcard zu nutzen (wir verwenden Aladdin Etoken-Pro)
Aber:
zu L2TP - soviel ich gesehen habe, wurde das L2TP-Projekt für Linux gestoppt.
Dazu kommt noch, dass es einen enormen Konfigurationsaufwand verlangt.
(Openswan, L2tP, PPP, Zertifikats-Server,...)
Und dann kann ich nicht sicher sein obs auch funktioniert.

PPTP hab ich schon zum Laufen gebracht.
Allerdings bisher nur mit MS-Chapv2, nicht mit EAP (für Smartcard)
Und hier steh ich an.
Ist das überhaupt möglich?
Gäbe es einen anderen Weg, ein Stück Hardware in den Authentifizierungsmechanismus einzubinden?
Es dürfte auch eine Kleinigkeit kosten, aber es muss funktionieren und einfach zu realisieren sein.
Es muss nicht Zertikatbasierend sein.
Ein langes Passwort oder RSA auf einem Chip würde genügen.

[Windoofsklicker]

Unter Windows kannst du Smartcards für die Authentifizierung bei einer VPN-Verbindung einsetzen (dann am Besten IPSec) oder für 802.1x.

Wenn deine Services eh per SSL gesichert sind, musst du nicht zwingend eine VPN-Verbindung aufbauen, oder? Daher würde ich mal sehen, was mit .1x so geht.

[nocheiniggy]

Für 802.1x müssen die Switche mitmachen oder?

Ist das nicht ein eher Enormer Aufwand, nur um die Verbindung zu einem einzigen Server zuzulassen?
Ausserdems solls später auch von extern funktionieren.

Wär das mit 1.x trotzdem realisierbar?

Mich würd ja interessieren, ob PPTP mit Smartcard funktioniert.
L2TP setzt ja auf IPSec, allerdings wurde eben L2TP angeblich eingestellt und Aufwändig.
PPTP wär einfach konfiguriert. Wenn hier Smartcard-Authentifizierung möglich wäre, wärs optimal.
Wobei hier - glaub ich - eher die Linux-Seite es supporten müsste.
Denn unter Windows gäbs die Option, Smartcard mit PPTP zu verwenden (EAP)

[gismojs]

Schau dir mal die Kobil mIdentity-Lösung an, die kommen mit eigenen Zertifikaten und kosten nicht die Welt.

http://www.kobil.de/index.php?id=49&type=7&L=1

Ich müsste sogar noch so ein Teil irgendwo rumfliegen haben (also so einen USB-Stick mit Smartcard usw) den ich nicht mehr brauche. War mal ein Projekt eines ehemaligen Arbeitgebers. Wenn du anhand der Informationen auf der o.g. Homepage zu dem Schluß kommst daß das was für euch sein könnte schenk ich dir das Teil zum Ausprobieren.

[Windoofsklicker]

.1x von extern geht wohl nicht. Dann ist eine VPN-Lösung wohl das Mittel der Wahl. Wenn ich unter Win XP-Prof den Assi zum Einrichten einer VPN-Verbindung starte und SmartCard-Auth. Auswähle, kann ich hinterher trotzdem zwischen L2TP und PPTP umschalten. PEAP, EAP, CHAP,... sind doch vom Tunnel-Protokoll unabhänging, oder?

Was diverse VPN-Clients auf einem Rechner angeht: Ich habe auf meiner Workstation den Cisco VPN Client, Check Points Secu Remote und OpenVPN installiert. Die vertragen sich alle problemlos, da der Cisco und OpenVPN eine eigene Netzwerk-Verbinndung mitbringen und der Securemote im TCP-Stack aller Karten die Pakete für das entsprechende Subnetz hinter dem VPN-Tunnel abgreift.