Smartcard

Für die Verwendung der Smartcard-Anmeldemethode sind einige zusätzliche Konfigurationen erforderlich:

1. Unter Security > Logon > Active Directory/Kerberos, aktivieren Sie Smartcard.
   

2. Under Smartcard removal action, define what should happen when the smartcard is removed:

   • Log out: Performs a disconnect or log out of running sessions, removes all user related data from the device and prepares the device for the next user login.

   • Lock device: Locks the screen during sessions. Only the user who is already logged in can unlock the device with his smartcard and PIN. Additionally, select User password under User Interface > Screenlock / Screensaver > Options, to make the setting effective.
     

3. Wählen Sie unter Security > Smartcard > Middleware ein entsprechendes PKCS#11-Modul aus.

   

   Die Smartcards für diese Anmeldung müssen von einem PKCS#11-Modul unterstützt werden, das auf die Zertifikate auf der Smartcard zugreifen kann.

Kerberos-Anmeldung mit einer Smartcard beinhaltet Zertifikate. Das Root-Zertifikat des vom Key Distribution Center (Domain Controller) verwendeten Zertifikats muss daher auf dem Gerät vorhanden sein. Entweder ist das Root-Zertifikat eine der öffentlichen vertrauenswürdigen Zertifizierungsstellen oder es muss auf dem Gerät bereitgestellt werden, siehe Bereitstellen von vertrauenswürdigen Root-Zertifikaten in IGEL OS.

Bei der Verwendung von Windows 2000 oder Windows Server 2003-basierten Domänencontrollern in Kombination mit Smartcard-Login muss der Parameter auth.krb5.realms.pkinit.pkinit_win2k in der Registry aktiviert werden. Dies ermöglicht die Verwendung einer früheren Protokollversion der PKINIT-Vorauthentifizierung.