Toon posts:

Novell/Citrix en biometrische authenticatie

Pagina: 1
Acties:

Verwijderd

Topicstarter
Situatie:

Klant heeft 6 vestigingen en 250 medewerkers. De klant is bezig met een sterke uitbreiding van haar vestigingen en het aantal medewerkers. Op termijn is de verwachting dat er een groei wordt doorgemaakt naar 30 tot 40 vestigingen met rond de 3500 medewerkers (een deel van deze medewerkers zullen thuisgebruikers zijn, welke via een particuliere ADSL of kabelverbinding toegang tot het netwerk van de klant zullen verkrijgen). In deze situatie sprake van zo’n 1.250 concurrent users welke via biometrie aan de bovengenoemde Novell/Citrix omgeving dienen te authenticeren.

Na onderzoek binnen een testsituatie zal de productie omgeving (Netware 6.5 in combinatie met Citrix, authenticatie binnen Novell eDir) worden opgewaardeerd volgens de technische omschrijving, hieronder weergegeven.
Technische beschrijving omgeving – test situatie
In een testsituatie is een gecombineerde Netware 6.5 / Citrix PS4 omgeving ingericht. De Citrix implementatie draait op Windows 2003 servers, zonder Active Directory. De authenticatie van de thin clients geschiedt via de Netware eDir (versie 8.7.3.7). Centraal binnen deze authenticatie staat het gebruik van ZENworks 7.0. Nadat de thin client via de ICA client (automatisch) contact heeft gelegd met de Citrix omgeving, wordt via Novell Client32 v4.91 SP2 binnen de Citrix sessie geauthenticeerd in de eDirectory.

De klant stelt dat het niet gewenst is om naast de Novell eDir een authenticatie / user database op basis van Active Directory te implementeren. Ook een uitwisseling tussen twee Directory Services (eDir en ActiveDirectory) is niet wenselijk.

Volgens de beschrijvingen, zoals deze te vinden zijn in de knowledgebases van Citrix en Novell, kunnen er problemen ontstaan bij het gebruik van NMAS, er wordt gesteld dat in bovengenoemde (test)situatie het gebruik van NMAS moet worden disabled. Anderzijds lijkt Novell NMAS een verplicht onderdeel bij biometrische authenticatie aan de Netware eDir.
Op zowel Citrix- als novellfora is de info zeer karig.

De keuze voor Novell/Microsoft is buiten de scope van dit project.
Het doel van het project is, om erachter te komen of Novell icm Citrix en biometrische authenticatie dermate beheersbaar en schaalbaar is, dat dit voor de klant een interessante oplossing is. Het is natuurlijk niet de bedoeling dat we als pilot gaan fungeren.

Vragen:

Heeft iemand ervaringen met de combinatie Novell/Citrix in het algemeen, en met genoemde combinatie en biometrische authenticatie in het bijzonder?

Is het gebruik van NMAS verplicht binnen Netware om biometrische authenticatie te ondersteunen? Zijn biometrische authenticatie mogelijkheden welke niet verplicht gebruikmaken van NMAS, beschikbaar voor authenticatie aan de Netware eDir?

Elke andere opmerking/tip over deze situatie is natuurlijk ook welkom!

  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Biometrisch is complex, en je gaat zowiezo als pilot dienen. Waarom is er geen keuze gemaakt voor smartcards ?

Verwijderd

Topicstarter
Op basis van overheidsrichtlijnen welke zijn gesteld voor toegang tot vertrouwelijke dossiers van clienten is er gekozen voor biometrie.

  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Verwijderd schreef op woensdag 08 maart 2006 @ 14:43:
Op basis van overheidsrichtlijnen welke zijn gesteld voor toegang tot vertrouwelijke dossiers van clienten is er gekozen voor biometrie.
Richtlijnen zijn niet altijd praktisch implementeerbaar. Veel vormen van biometrie zijn niet betrouwbaar, of zijn peperduur. De meest betrouwbare vormen zijn niet bruikbaar voor bv thuiswerkers. Het enige wat wel bruikbaar is IMHO (vingerprint) zijn niet betrouwbaar genoeg.

Vooral het schaalbare is als je het mij vraagt een probleem : Veel data, en een zeer grote kans op supportvragen vanwege de onbetrouwbaarheid van het geheel. De kosten van de scanners zal ook niet gering zijn denk ik.

[ Voor 18% gewijzigd door igmar op 08-03-2006 22:47 ]


Verwijderd

Het moet allemaal inderdaad wel haalbaar zijn.
Ik zou persoonlijk niet verantwoordelijk willen zijn voor de ondersteuning van de scanners (die thuis gebruikt moeten worden).

Is het niet mogelijk om te kijken naar tokens (a la telebankieren)? Deze zijn secure (pin + respons) en eenvoudig. Tevens zijn ze relatief goedkoop.

Dit in combinatie met radius welke weer beschikbaar is op elk platform.

Verwijderd

Topicstarter
Bedankt voor de reacties.

Er worden nu al tokens voor VPN gebruikt, maar dit is helaas geen optie voor de nieuwe situatie.
Er moeten echter andere zorginstellingen zijn die met dezelfde problematiek te kampen hebben(misschien dan wel niet met een Novell/Citrix-combinatie)

Het project is meer onderzoekend dan uitvoerend van aard. De nadruk ligt dus op onderzoek naar de haalbaarheid van de gewenste situatie.
Biometrische authenticatie zou wel een "go of no go"-argument zijn

We zijn nu 1 1/2 week gevorderd en inmiddels zijn er nog een paar "uitdagingen".

Ik heb wat problemen met het draaien van meer dan een handvol Groupwise sessies op de Citrix server(2003 SP1+PS4). Symptomen: geheel niet meer starten, memory optimization crasht etc.

Heeft iemand ervaring hiermee? Is bijv. een standaard- of werkstationinstallatie handig? Zijn er alternatieven voor Groupwise waarmee men geen functionaliteit verliest?(zoals gezegd is de keuze softwarebedrijf uit Redmond of Novell al gemaakt)

  • spider
  • Registratie: Juli 2001
  • Laatst online: 31-12-2023
Verwijderd schreef op donderdag 09 maart 2006 @ 10:42:
...
Heeft iemand ervaring hiermee? Is bijv. een standaard- of werkstationinstallatie handig? Zijn er alternatieven voor Groupwise waarmee men geen functionaliteit verliest?(zoals gezegd is de keuze softwarebedrijf uit Redmond of Novell al gemaakt)
Ik weet dat ze bij AAC cosmos te rijswijk, ooit zo oplossing hebben getest. Ik werkte daarvroeger en een oud collega was er mee aan het spelen ;)
(Ik weet niet of ik hier bedrijfsnamen mag geven, dat bij voorbaat mijn escusses)

Dus het is wel zeker mogelijk.
De software van die reader die ze teste verzorgde een soort passtrue van gegevens naar de NDS voor de autenticatie. Of bij local, direct de sam.
Ik heb er helaas niet zelf mee gespeeld, dus first hand ervaring kan ik je niet geven.

ben wel reuze benieuw of je het werkend krijg, dus als je het werkend krijg, laat he me eens weten

"Is your mother proud of you ?"

Pagina: 1