abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Smartcard (Kammerausweis) und Midentity (Smartcard für Berufsträger) am WTS

8
letzte Antwort am 05.02.2018 15:05:09 von
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
duhme
Beginner
Offline Online

am ‎02.02.2018 09:45

Nachricht 1 von 9
1156 Mal angesehen

Hallo zusammen,

Bei uns werden leider die Smartcards teilweise nicht erkannt.

Erstmal zum Netzwerk:

Ein Server (Hardware) mit installierten Windows 2016 und Hyper-V Rolle

4 Instanzen alle mit Windows 2016 (komischerweise mit Windows 2012 hat es funktioniert):

1. DC

2. Exchange

3. Data (Datenbank/Fileserver)

4. WTS

Clients gibt es vereinzelt Pcs mit Windows 10 und der Rest sind ThinClients von Igel bzw. Rangee.

Sicherheitspaket 5.1 ist nur auf dem WTS installiert.

Da ich das Problem endlich beseitigen wollte habe ich mich hier überall durchgelesen und auch eine Lexinform DOK gefunden mit einem Hinweis auf einem USB-Device Server. Habe mich dann für einen Silex DS-600 entschieden, der dort auch von Datev empfohlen wurde.

Wenn ich die Smartcard mit Virtual Link auf den Windows Client aktiviere und dann eine Remotedesktop-Verbindung zum WTS aufbaue bekomme ich ein grünes Signal im Sicherheitspaket. Ich habe die Virtual Link Software auch auf den WTS installiert. Verlinke ich den Stick dort, dann wird mir zwar der Leser angezeigt, aber das Signal bleibt rot bzw. die Karte wird nicht erkannt. Diesen Weg muss ich natürlich wegen den ThinClients gehen.

Wenn ich über Hyper-V (Zugriff ist ja auch RDP basiert) auf den WTS mich anmelde bekomme ich die Smartcard in die Sitzung.

Den USB-Device-Server habe ich mir nur angeschafft, da er bei Datev aufgelistet wurde. Der Kammerausweis wird bei uns für den VaSt-Belegabruf verwendet und ich benötige ihn in der WTS Sitzung und kann ihn aber nicht immer mit am Mann haben bzw. wird es von verschiedenen Geräten benutzt, aber nie gleichzeitig.


Ich hoffe, es gibt Lösungsvorschläge.

mfg T. Duhme

0 Kudos
Antworten
andreashofmeister
Allwissender
Offline Online

am ‎02.02.2018 10:29

Nachricht 2 von 9
298 Mal angesehen

Wollen Sie eine SC für alle WTS-Nutzer einsetzen?

0 Kudos
Antworten
duhme
Beginner
Offline Online

am ‎02.02.2018 10:53

Nachricht 3 von 9
298 Mal angesehen

Diese ja.

0 Kudos
Antworten
jan
Fortgeschrittener
Offline Online

am ‎02.02.2018 11:27

Nachricht 4 von 9
298 Mal angesehen

Das oben beschrieben Verhalten ist doch vollkommen korrekt so.

Bei Anmeldung über den Enhanced Session Mode wird die Verbindung direkt in die Konsole gemacht und somit steht da auch die SC zur Verfügung.

Bei der Anmeldung über RDP hat der User, korrekter Weise, keinen Zugriff auf die "lokal" am Hyper-V steckende SC.

Die SC, die der User nutzen soll, muss in diesem Fall lokal am Client stecken bzw. dorthin mit dem USB Server verbunden sein. So ganz erschließt sich mir der Sinn einer von allen genutzten SC nicht. Idealerweise hat jeder User eine eigene SC mit passenden Rechten und nutzt diese.

0 Kudos
Antworten
andreashofmeister
Allwissender
Offline Online

am ‎02.02.2018 12:15

Nachricht 5 von 9
298 Mal angesehen

Na ja, der Sinn einer von vielen genutzten SC: eine für alle. Wenn man das rechtemässig überblicken kann...

Alles andere sollte man hier nicht diskutieren. ....

0 Kudos
Antworten
duhme
Beginner
Offline Online

am ‎05.02.2018 14:10

Nachricht 6 von 9
298 Mal angesehen

Der Sinn ist ganz einfach und rechtlich sehe ich da auch keine Probleme.

Diese Smartcards werden nur für die Verbindung zur Vollmachtsdatenbank genutzt (VaSt) und Steuerkontenabfrage. Bisher ging der Stick bzw. die Karte immer rum, wenn jemand einen Abruf gemacht hat. Ich wüsste nicht was da rechtlich anders sein sollte, als wenn jeder einen eigenen Stick hat und ich dort die Rechte freigebe.

Der Hauptgrund für einen USB-Device-Server sind die Clients für den Terminalserver. Die ThinClients schleifen die Karte nicht mehr sauber durch. Und auf Tablets haben wir gar nicht erst die Möglichkeit.

Mich wundert es nur, dass es nicht in dem Lexinform Dokument genannt wird. Ich habe wegen dieser Anleitung einen USB-Device Server geholt.

0 Kudos
Antworten
andreashofmeister
Allwissender
Offline Online

am ‎05.02.2018 14:21

Nachricht 7 von 9
298 Mal angesehen

Problem gibt es ja auch keine. Wenn es funktioniert.

Aber letztendlich ist der Ansatz zum Einsatz der VAST-Thematik ein anderer. Und ob rechtlich das ganze Szenario anders zu würden ist, vermag ich mal nicht zu beurteilen.

Welche ThinClients nutzen Sie denn?

Lexinform wird Ihnen sicherlich zu Ihrem Einsatzszenario wenig bieten (können). Aber das hat andere Gründe....

0 Kudos
Antworten
duhme
Beginner
Offline Online

am ‎05.02.2018 14:26

Nachricht 8 von 9
298 Mal angesehen

Unsere ThinClients worum es geht sind IGEL Universal Desktop UD3 LX.

0 Kudos
Antworten
Offline Online

am ‎05.02.2018 15:05

Nachricht 9 von 9
298 Mal angesehen

Moin,

es gilt bei den SmartCards (egal um welchen Typ es sich handelt) immer das Highlander Prinzip, es kann nur einen geben. Egal, wie Sie die Karte anbinden, es kann immer nur ein Nutzer darauf zugreifen. Im TS Umfeld mit Silex verschärft sich das Problem nochmals, hier muss der USB Server den USB Port mit der Karte in die jeweilige Sitzung schleifen. der Nutzer hat nach Zugriff den Port wieder freizugeben, ob das immer sauber (im technischen Sinn) stattfindet ist fraglich. Das Sicherheitspaket ist vom Konzept her eine 1:1 Verbindung, dauernde Wechsel im TS Umfeld könnten da durchaus zu Zuordnungsfehlern in der Sitzungszuordnung führen - diese Zuordnungsfehler sind dann wieder potentielle Sicherheitslücken für das Gesamtsystem des TS.

Gruß

KP

Antworten
  • Erster Beitrag Zum ersten Beitrag
  • Letzter Beitrag Zum letzten Beitrag
    • 8
    letzte Antwort am 05.02.2018 15:05:09 von
    Dieser Beitrag ist geschlossen
    0 Personen hatten auch diese Frage
    avatar rank icon
    Rang:
    Status:offline
    Mitglied seit:
    Zum Profil