Smartcard voor authenticatie o.b.v. ActiveDirectory - Serversoftware en clouddiensten

woensdag 2 september 2015 09:27

Acties:

Webdeveloper

Topicstarter

Binnen onze kantooromgeving zijn we aan het experimenteren met het opzetten van een authenticatie systeem op basis van (certificaten op) smartcards, zodat kan worden geauthenticeerd tegen een Active Directory service.

Niet direct relevant voor de vraag, maar wellicht nuttig als achtergrond:

Active Directory draait op basis van Samba op Ubuntu.
We hebben een eigen CA opgezet voor de uitgifte van persoonsgebonden certificaten.
De authenticatie willen we gebruiken voor het aanmelden van Windows (7/8/10) clients, maar ook voor authenticatie op websites/webapplicaties en liefst ook voor SSH en SCP sessies.

Bovenstaande hebben we grotendeels in een "Proof of Concept" omgeving draaien. Lijkt allemaal te werken; het is goed om te zien dat het systeem dus zou kunnen werken. Daarbij hebben we nu een paslezer en smartcard met certificaat van ESG gebruikt. Het zelf-gegenereerde persoonsgebonden certificaat hebben we daarbij via een omweg op de pas weten te krijgen. Een omweg, die je voor een productie-omgeving niet wilt gebruiken. Bovendien werkt dit maar half (Firefox "ziet" met de PKCS#11-module het eigen certificaat niet).

De omweg was nodig, omdat het toevoegen van "eigen" certificaten door het systeem van ESG (volgens verklaringen van hen zelf) niet wordt ondersteund. Nu zijn we dus op zoek naar een leverancier van smartcards + paslezers, die:

Gebruikt kunnen worden voor authenticatie met Windows-clients (win 7/8/10)
De pas beveiligen met een pincode (3x foute pincode = blokkeren)
Ondersteuning bieden voor PKCS#11
De mogelijkheid bieden om zelf-gegenereerde certificaten te gebruiken

Daarbij hebben we uiteraard graag een leverancier die goed bereikbaar is en ook "morgen" nog bestaat, aangezien we onze infrastructuur redelijk afhankelijk maken van dit systeem.

De reden dat ik deze vraag hier stel, en niet aan Google, is dat een zoektocht via Google een hele hoop rotzooi oplevert, inclusief schimmige incidentele aanbieders. Wegens een gebrek aan ervaring, ben ik niet goed in staat om het kaf van het koren te scheiden; ik hoop dus dat iemand hier zijn of haar ervaringen wil delen.

woensdag 2 september 2015 11:56

Acties:

Brabix

Ik heb dit wel eens gemaakt met eToken van SafeNet (ook met samba en een eigen CA en in het verleden met de microsoft oplossing). Werkt goed.

Eventueel kun je ook kijken naar kaarten of ePass (feitelijk een kaart in USB vorm met de reader ingebouwd) van Feitian. Deze werken ook met opensc en dat spaart een stuk in de kosten t.o.v. de eToken oplossing.

woensdag 2 september 2015 12:32

Acties:

Paul

Waarom per se eigen certificaten? Is het importeren van bestaande pasjes niet mogelijk? Niet wenselijk?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 2 september 2015 12:38

Acties:

Bl@ckbird

Zelf heb ik ervaring met eTokens, maar dat is jaren geleden.
Bekende merken zijn eToken van Safenet, Vasco (Rabobank eReader) en RSA.
Gewoon je vraag bij resellers van deze merken uitzetten en kijken waar ze mee komen.
(Eventueel met een proof of concept die in productie wel werkt.)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

woensdag 2 september 2015 13:12

Acties:

Bockelaar

safesign, nederlands bedrijf uit Arnhem. Enthousiast en grote marktspeler.

Remember: A CRAY is the only computer that runs an endless loop in just 4 hours...

woensdag 2 september 2015 13:46

Acties:

bvk

Het gaat nooit snel genoeg!

Of Gemalto misschien, wordt bijvoorbeeld door ING gebruikt voor hun I-dentity smartcards in combinatie met Vasco DP870 readers.

https://www.pki.ing.com/index.php?a=dyn&id=90

Specs

woensdag 2 september 2015 13:53

Acties: