Client-Authentifizierung mit SmartCards an der HU

Dipl.-Ing. Roland Herbst
Mitarbeiter am Rechenzentrum (Computer- und Medienservice) der Humboldt-Universität zu Berlin

Vortragsfolien (*.ppt/2792 kb)

Einführung

Im gemeinsam von Rechenzentrum (Computer und Medienservice) und Universitätsbibliothek der HU genutzten Neubau in Berlin-Adlershof (Erwin Schrödinger Zentrum) (www.adlershof.de) kommt Terminalserver-Technologie auf der Basis von Citrix Metaframe zum Einsatz. Die Authentifizierung dieser Nutzer erfolgt mit SmartCards auf Basis des Feature Release 2 der Server-Software Citrix MetaFrame XP. Außerdem wird die grundsätzliche Möglichkeit geschaffen, von Thin Clients aus kryptographische Applikationen, wie den zertifikatsbasierten Zugriff auf WWW-Ressourcen, SmartCard-basiert zu nutzen. Im Vortrag wird die verwendete Technologie beschrieben und demonstriert, und es werden auftretende Probleme und Ansätze zu deren Lösung aufgezeigt.


Funktionsprinzip und Anforderungen

Pendant sind die MetaFrame-Server, an die mittels eines standardisierten Protokolls (ICA) nur die Informationen lokal an den Clients angeschlossener Geräte (z.B. Tastatur, Maus, Kartenleser mit SmartCard) empfangen und die Informationen der Bildschirm-Änderungen komprimiert an den Thin-Client zurück übertragen. Die eigentliche Applikation läuft dabei auf dem MetaFrame-Server.

Will man auch in einer solchen Umgebung kryptografische Applikationen einsetzen, die auf der Nutzung von persönlichen Schlüsseln basieren, so entstehen mehrere Probleme, die es zu lösen gilt. Dies sind:

  • Steuerung des Zugriffes auf die Schlüssel. Es versteht sich von selbst, dass die privaten Schlüssel nicht auf dem MetaFrame-Server lagern, sondern unabhängig davon, geschützt in einer einer speziellen kryptographischen Hardware, (SmartCards) gespeichert sein sollten.

  • Absicherung gegen Man-In-the-Middle-Attacken, zwischen Thin-Client und MetaFrame-Server, da Authentifizierungs-Informationen übertragen werden.

  • Voraussetzung für Feature Release 2 ist die Anwendung einer Microsoft-Sub-CA für die Zertifizierung der öffentlichen Schlüssel der Nutzer und Einbindung dieser in eine Third -Party-Root CA (auf OpenSSL basierend).

  • Generierung der Nutzer-Zertifikate (SmartCards) im Batch-Betrieb.

Es ist beabsichtigt, diese Technologie auch im Netzwerkbereich der Verwaltung der HU einzusetzen. Dabei werden wir uns aber nicht auf die Thin Client Lösung beschränken, sondern es wird auch eine Nutzung von PCs aus angestrebt.