Re: Win Logon con smartcard

On Sun, Sep 01, 2002 at 03:59:37PM +0200, Linux Administrator wrote:
> Vorrei poter effuare il logon in Windows Xp attraverso una smartcard per
> incrementare la sicurezza.
> 
> So che e' possibile farlo ma non ho trovato nessun documento che mi
> spieghi come.
> 
> Inoltre attraverso quale utility associato l'hash della smartcard
> all'utente?
> 

Non conosco approfonditamente quanto sia stato implementato in WinXP 
ma presumo che ci sia la stessa architettura PKI basata su Kerberos
che e' all'interno di Windows 2000.
Sotto Win2K e' possibile configurare un architettura krb in cui un server
contiene tutte le informazioni di logon per gli utenti nel dominio e la
smartcard viene utilizzzata come repository del certificato utilizzato
dalle macchine locali per la generazione della richiesta del ticket.
Un ottima pagina che spiega meglio il funzionamento dell'intera architettura
e' http://www.winntmag.com/Articles/Index.cfm?ArticleID=4691&pg=1
Ovviamente dal punto di vista hardware bisogna scegliere la propria soluzione
Sono molto diffuse le chiavi USB mentre le smartcard vere e proprie
(ISO7816/3-4) richiedono solitamente software proprietario.
Per quanto ne so sui portatili cono smartcard reader viene fornito sia un BIOS
che puo' diventare bloccante (cioe' senza smartcard il computer
non boota proprio) altrimenti una particolare applicazione permette di
utilizzare al logon le smartcard, ma non si tratta di una struttura PKI:
semplicemente il proprietario del computer genera 2 smartcard (una normale
e una di 'emergenza' da amministratore) che sono in grado di fare il logon.
E' possibile richiedere poi alla casa madre altre smartcard per generare
altri utenti, ma l'intero processo si svolge sulla macchina locale e
probabilmente (malelingue :)) c'e' poco di crittografico,si tratta soltanto
di usare la smartcard come eeprom contenente login+password.

Bye
		Alessio








________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List