Wiki-Quellcode von RangeeOS - Smartcard-RFID-USB Easylogin
Version 25.2 von Tobias Wintrich am 2022/10/21 10:23
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
9.4 | 1 | (% class="auto-cursor-target" %) |
| |
9.9 | 2 | |
| |
9.4 | 3 | |
| 4 | {{info}} | ||
| 5 | **Getestet mit:** | ||
| 6 | |||
| |
23.1 | 7 | RangeeOS Firmware 11.00 build 178 |
| |
9.4 | 8 | |
| |
23.1 | 9 | Rangee Smartcard Admin 11.00 build 010 |
| |
22.1 | 10 | |
| 11 | Rangee USB Drive Admin 11.00 build 007 | ||
| |
9.4 | 12 | {{/info}} |
| 13 | |||
| |
22.1 | 14 | RangeeOS kann Zugangsdaten für Benutzer sicher auf einem USB-Stick einer Smartcard oder RFID-Karte speichern und zur Anmeldung an verschiedenen Serverumgebungen nutzen. Zusätzlich kann auf die entsprechenden Login Medien auch noch der Server, zu dem sich der Benutzer verbinden soll, mit hinterlegt werden. |
| |
9.4 | 15 | |
| |
22.1 | 16 | {{toc/}} |
| |
9.4 | 17 | |
| |
23.1 | 18 | = Voraussetzungen = |
| |
9.4 | 19 | |
| |
22.1 | 20 | Zur Nutzung von RangeeOS Easylogin benötigen Sie entweder: |
| |
9.4 | 21 | |
| |
23.1 | 22 | * eine "Rangee Smartcard Easylogin" mit einem kompatiblen Smartcard Reader |
| |
22.1 | 23 | * eine "Rangee RFID Easylogin Card" mit einem kompatiblen NFC Reader |
| 24 | * eine "Rangee USB Easylogin"-Lizenz und einen USB-Stick | ||
| 25 | |||
| 26 | = Funktionsweise = | ||
| 27 | |||
| |
23.1 | 28 | Um die Rangee Easylogin Funktion nutzen zu können, muss das Anmeldemedium einmalig vom Admin auf einem Client erstellt werden. Hierzu wird auf dem entsprechenden Client, je nach genutztem Medium, das **Rangee Smartcard Admin** oder **Rangee USB-Drive Admin **Modul benötigt. Die Zugangsdaten werden in aktueller Version über einen Hash, bestehend aus mehreren Komponenten verschlüsselt auf dem jeweiligen Medium abgespeichert. |
| |
22.1 | 29 | |
| 30 | Bei Smartcard und RFID wird zur Verschlüsselung ein per TCMS verteiltes zufällig generiertes und per Konfiguration verteiltes Token und einer frei wählbaren PIN (Optional - Empfohlen) verwendet. Bei USB-Sticks wird zusätzlich die Seriennummer des Sticks genutzt. | ||
| 31 | |||
| |
9.4 | 32 | {{info}} |
| |
23.1 | 33 | Bei Verwendung von USB-Sticks sollte unbedingt ein USB-Stick mit "Seriennummer" verwendet werden. Wird ein Stick ohne Seriennummer genutzt, können die Login Daten Dateibasiert von einem auf einen anderen Stick übertragen werden. Bei Verwendung eines USB-Sticks ohne Seriennummer wird Ihnen ein entsprechender Warnhinweis beim Aufspielen der Nutzerdaten angezeigt. |
| |
9.4 | 34 | {{/info}} |
| 35 | |||
| |
22.1 | 36 | Die Anmeldemedien können Anschließend für alle entsprechend Konfigurierten Anwendungen genutzt werden. |
| |
9.4 | 37 | |
| |
22.1 | 38 | = Einrichtung = |
| |
9.4 | 39 | |
| |
22.1 | 40 | == Generell == |
| |
9.4 | 41 | |
| |
22.1 | 42 | Die erstellten Login-Tokens können nur auf Geräten genutzt werden, welche über das selbe Verschlüsselungstoken verfügen, welches bei Erstellung des Mediums verwendet wurde. Das aktuelle Token kann unter (% id="cke_bm_8775S" style="display:none" %) (%%) {{status title="Verbindungen & Anwendungen"/}} → {{status title="Verbindungsübersicht"/}} → {{status title="Globale Benutzerdaten"/}} ausgelesen werden. Das Token kann per **Konfiguration **(Manuell/TCMS), **Profil **(TCMS) oder komplett **händisch **auf andere Geräte übertragen werden. |
| |
9.4 | 43 | |
| |
22.1 | 44 | {{lightbox image="Token.png" group="1" width="600px" title="Verschlüsselungstoken"/}} |
| 45 | |||
| 46 | Bei Verwendung eines TCMS mit unterschiedlichen Gruppen in denen die Login-Tokens an allen Geräten verwendet werden können sollen, empfiehlt sich die Nutzung eines [[TCMS-Profils>>doc:Handbuecher.TCMS11\.00.Kapitel 6 - Arbeiten mit dem TCMS.6\.G\. Profile.WebHome]] auf Gruppen Basis. | ||
| 47 | |||
| 48 | == Smartcard/RFID Easylogin == | ||
| 49 | |||
| |
23.1 | 50 | === Smartcard-Unterstützung aktivieren === |
| |
22.1 | 51 | |
| |
23.1 | 52 | Auf allen Geräten welche Easylogin per Smartcard oder RFID nutzen möchten, muss die Rangee Smartcard-Unterstützung aktiviert sein. |
| |
22.1 | 53 | |
| |
23.1 | 54 | (% id="cke_bm_11331S" style="display:none" %) (%%)Öffnen Sie hierzu die Kommbox und navigieren Sie zu {{status title="PERIPHERIE"/}} → {{status title="SMARTCARD-KONFIGURATION"/}}. Falls nicht bereits entsprechend eingestellt aktivieren Sie die Smartcard-Unterstützung und {{status title="ÜBERNEHMEN"/}} Sie die Einstellung. Ihr am Thin Client angeschlossener Smartcard Reader wird nun aufgelistet. |
| |
22.1 | 55 | |
| 56 | {{lightbox image="1.PNG" group="1" width="600px" title="Smartcard Konfiguration"/}} | ||
| 57 | |||
| 58 | === Login Medium erstellen === | ||
| 59 | |||
| 60 | Installieren Sie sich auf einem Thin Client die aktuelle Version des **Rangee Smartcard Admin** Moduls inkl. aktueller RangeeOS Firmware Version. | ||
| 61 | |||
| 62 | {{lightbox image="sc-admin.png" group="1" width="600px" title="Smartcard Konfiguration"/}} | ||
| 63 | |||
| 64 | (% class="wikigeneratedid" %) | ||
| |
23.1 | 65 | Navigieren Sie zu {{status title="VERBINDUNGEN"/}} → {{status title="RANGEE SMARTCARD ADMIN"/}} und stecken Sie die Rangee Smartcard in den Smartcard Reader. |
| |
9.4 | 66 | |
| |
22.1 | 67 | ==== Smartcard lesen ==== |
| |
9.4 | 68 | |
| |
11.1 | 69 | Drücken Sie in der Kommbox auf {{status title="KARTE LESEN"/}} – nun werden Ihnen die auf der Smartcard vorhandenen Daten angezeigt. |
| |
9.4 | 70 | |
| |
22.1 | 71 | {{info}} |
| |
23.1 | 72 | Da in aktueller Version sämtliche Zugangsdaten verschlüsselt abgespeichert werden, wird beim Lesen entsprechender Karten bei "Benutzername" und "Domäne" lediglich "<verschlüsselt>" angezeigt. |
| |
22.1 | 73 | {{/info}} |
| 74 | |||
| |
13.1 | 75 | {{lightbox image="2.PNG" group="1" title="Rangee Smartcard Admin"/}} |
| |
9.4 | 76 | |
| |
22.1 | 77 | ==== Smartcard beschreiben ==== |
| |
9.4 | 78 | |
| 79 | Geben Sie bei Benutzername, Domäne, Passwort, Passwort wiederholen, PIN und PIN wiederholen die gewünschten Daten an. | ||
| 80 | |||
| 81 | Der PIN ist ein von Ihnen erdachtes Passwort für die Karte, welches nur Buchstaben und Zahlen (keine Sonder- oder Leerzeichen) enthalten darf. Die Angabe einer PIN ist nicht zwingend erforderlich. | ||
| 82 | |||
| |
11.1 | 83 | Klicken Sie anschließend auf {{status title="KARTE SCHREIBEN"/}}. |
| |
9.4 | 84 | |
| |
22.1 | 85 | Das Feld Server ist optional und muss nur ausgefüllt werden, wenn der Server an die Smartcard und nicht an die Verbindung gebunden werden soll. |
| |
9.4 | 86 | |
| |
13.1 | 87 | {{lightbox image="3.PNG" group="1" title="Smartcard beschreiben"/}} |
| |
9.4 | 88 | |
| |
22.1 | 89 | ==== Smartcard leeren ==== |
| |
9.4 | 90 | |
| |
11.1 | 91 | Um die Daten auf der Smartcard zu löschen, klicken Sie auf den Button {{status title="KARTE LEEREN"/}}. |
| |
9.4 | 92 | |
| |
14.1 | 93 | {{lightbox image="4.PNG" group="1" title="Smartcard leeren"/}} |
| |
9.4 | 94 | |
| |
24.1 | 95 | === Login Medium nutzen === |
| |
9.4 | 96 | |
| 97 | Zur Verwendung der Smartcard setzen Sie in Ihrer Verbindung den "//Loginmodus//" auf "//Rangee Smartcard//". | ||
| 98 | |||
| 99 | Falls Sie den Server in der Smartcard hinterlegt haben, geben Sie als Server bitte %SMARTCARD% in das Serverfeld ein. | ||
| 100 | |||
| |
23.1 | 101 | Mit der Option "(% style="color:#000000" %)//Beende Verbindung wenn Smartcard / Token entfernt wird//" können Sie vorgeben, ob die Sitzung beim Ziehen einer Smartcard (oder entfernen der NFC Variante vom Reader) die Sitzung automatisch geschlossen werden soll. |
| |
9.4 | 102 | |
| |
13.1 | 103 | {{lightbox image="5.PNG" group="1" title="FreeRDP-Konfiguration"/}} |
| |
9.4 | 104 | |
| |
22.1 | 105 | Beim Start einer entsprechenden Verbindung passiert nun folgendes: |
| |
9.4 | 106 | |
| |
22.1 | 107 | (% style="list-style-type:square" %) |
| 108 | * Wenn keine Karte gesteckt ist, kommt eine Meldung „Bitte stecken Sie die Smartcard“ | ||
| |
23.1 | 109 | * Wird eine Karte gesteckt oder ein NFC Token aufgelegt, wird nach der hinterlegten PIN gefragt (wenn eine PIN vergeben wurde) |
| |
22.1 | 110 | ** Bei richtiger Eingabe werden Sie verbunden |
| 111 | ** Bei falscher PIN-Eingabe wird eine Fehlermeldung angezeigt | ||
| |
9.4 | 112 | |
| |
22.1 | 113 | == USB Easylogin == |
| 114 | |||
| 115 | {{warning}} | ||
| |
23.1 | 116 | Die USB Easylogin Funktion benötigt eine gültige **"Rangee USB Easylogin"** oder **"Demo"** Lizenz. Ist keine der beiden auf dem Gerät vorhanden erhalten Sie im Rangee USB-Stick Admin Modul oder beim Start einer entsprechenden Verbindung eine Warnung. |
| |
22.1 | 117 | {{/warning}} |
| 118 | |||
| 119 | {{lightbox image="usb-license.png" group="1" width="600px" title="USB-Stick Admin Lizenz"/}} | ||
| 120 | |||
| 121 | === Login Medium erstellen === | ||
| 122 | |||
| 123 | Installieren Sie sich auf einem Thin Client die aktuelle Version des **Rangee USB-Drive Admin** Moduls inkl. aktueller RangeeOS Firmware Version. | ||
| 124 | |||
| 125 | {{lightbox image="usb-drive-admin.png" group="1" width="600px" title="Smartcard Konfiguration"/}} | ||
| 126 | |||
| 127 | (% class="wikigeneratedid" %) | ||
| |
23.1 | 128 | Navigieren Sie zu {{status title="VERBINDUNGEN"/}} → {{status title="RANGEE USB-STICK ADMIN"/}} und stecken Sie einen zu verwendenden USB-Stick ins Gerät. |
| |
22.1 | 129 | |
| 130 | ==== USB-Stick lesen ==== | ||
| 131 | |||
| 132 | Drücken Sie in der Kommbox auf {{status title="USB-Stick LESEN"/}} – nun werden Ihnen die auf dem Stick vorhandenen Daten angezeigt. | ||
| 133 | |||
| 134 | {{info}} | ||
| 135 | "Benutzername" und "Domäne" werden lediglich "als <verschlüsselt>" angezeigt. | ||
| 136 | {{/info}} | ||
| 137 | |||
| 138 | {{lightbox image="usb-read.png" group="1" width="600px" title="USB-Stick lesen"/}} | ||
| 139 | |||
| 140 | ==== USB-Stick schreiben ==== | ||
| 141 | |||
| 142 | Geben Sie bei Benutzername, Domäne, Passwort, Passwort wiederholen, PIN und PIN wiederholen die gewünschten Daten an. | ||
| 143 | |||
| |
23.1 | 144 | Der PIN ist ein von Ihnen erdachtes Passwort zur Verschlüsselung der Daten auf dem Stick, welches nur Buchstaben und Zahlen (keine Sonder- oder Leerzeichen) enthalten darf. Die Angabe einer PIN ist nicht zwingend erforderlich. |
| |
22.1 | 145 | |
| 146 | Das Feld Server ist optional und muss nur ausgefüllt werden, wenn der Server an die Smartcard und nicht an die Verbindung gebunden werden soll. | ||
| 147 | |||
| 148 | Klicken Sie anschließend auf {{status title="USB-STICK SCHREIBEN"/}}. | ||
| 149 | |||
| 150 | {{info}} | ||
| 151 | Die auf einem USB-Stick enthaltenen Daten werden hierbei **nicht **gelöscht. Es wird lediglich ein zusätzliches Verzeichnis ".rangee" auf dem Stick angelegt. Dieses darf nicht vom Stick entfernt werden. | ||
| 152 | {{/info}} | ||
| 153 | |||
| 154 | {{lightbox image="usb-write.png" group="1" width="600px" title="USB-Stick beschreiben"/}} | ||
| 155 | |||
| 156 | ==== USB-Stick leeren ==== | ||
| 157 | |||
| 158 | Um die Daten auf dem Stick zu löschen, klicken Sie auf den Button {{status title="USB-STICK LEEREN"/}}. | ||
| 159 | |||
| |
24.1 | 160 | === Login Medium Nutzen === |
| |
22.1 | 161 | |
| 162 | Zur Verwendung des USB-Sticks setzen Sie in Ihrer Verbindung den "//Loginmodus//" auf "//Rangee USB Stick//". | ||
| 163 | |||
| 164 | Falls Sie den Server auf dem Stick hinterlegt haben, geben Sie als Server bitte %USBDRIVE% in das Serverfeld ein. | ||
| 165 | |||
| |
23.1 | 166 | Mit der Option "(% style="color:#000000" %)//Beende Verbindung wenn Smartcard / Token entfernt wird//" können Sie vorgeben, ob die Sitzung beim ziehen des USB-Sticks die Sitzung automatisch geschlossen werden soll. |
| |
22.1 | 167 | |
| 168 | {{lightbox image="usb-connection.png" group="1" width="600px" title="FreeRDP-Konfiguration"/}} | ||
| 169 | |||
| 170 | Beim Start einer entsprechenden Verbindung passiert nun folgendes: | ||
| 171 | |||
| |
9.9 | 172 | (% style="list-style-type:square" %) |
| |
23.1 | 173 | * Wenn kein Rangee Easylogin Stick gesteckt ist, kommt eine Meldung „Bitte stecken Sie den USB-Stick“ |
| |
22.1 | 174 | * Wird ein Stick gesteckt, wird nach der hinterlegten PIN gefragt (wenn eine PIN vergeben wurde) |
| 175 | ** Bei richtiger Eingabe werden Sie verbunden | ||
| 176 | ** Bei falscher PIN-Eingabe wird eine Fehlermeldung angezeigt |