Für die Verwendung der Anmeldemethode Smartcard sind weitere Einstellungen erforderlich:

  1. Gehen Sie in IGEL Setup zu Sicherheit > Anmeldung > Active Directory/Kerberos.
  2. Aktivieren Sie bei Anmeldemethoden die Option Smartcard.
  3. Legen Sie eine Aktion bei Entfernen der Smartcard fest:
    • Abmelden: Die Verbindung zu einer laufenden Sitzung wird beendet, alle benutzerbezogenen Daten werden vom Thin Client gelöscht und der Thin Client für eine neue Benutzeranmeldung vorbereitet.
    • Thin Client sperren: Sperrt den Bildschirm bei einer laufenden Sitzung. Nur der aktuell angemeldete Benutzer kann den Bildschirm mit seiner Smartcard und PIN wieder entsperren. Damit die Einstellung wirksam wird, müssen Sie außerdem unter Benutzeroberfläche > Bildschirmsperre/-schoner > Optionen im Bereich Passwort für Bildschirmsperre die Option Benutzerpassword aktivieren.
  4. Gehen Sie zu Sicherheit > Smartcard > Middleware und wählen Sie ein PKCS#11-Modul.

    Die Smartcards für diesen Login müssen von einem PKCS#11-Modul unterstützt werden, dass auf die Zertifikate auf der Smartcard zugreifen kann.

Bei einer Kerberos-Anmeldung per Smartcard werden Zertifikate verwendet. Darum muss das Root-Zertifikat des Zertifikats, das vom Key Distribution Center verwendet wird (Domänencontroller), auf dem Thin Client vorhanden sein. Das Root-Zertifikat muss entweder von einer öffentlichen Certificate Authority stammen oder auf den Thin Client übertragen werden, siehe Vertrauenswürdige Stammzertifikate einspielen.


Wenn Sie eine Smartcard-Anmeldung in Verbindung mit einem auf Windows 2000 oder Windows Server 2003 basierenden Domänencontroller verwenden, muss in der Registry der Parameter auth.krb5.realms.pkinit.pkinit_win2k aktiviert sein. Dadurch wird eine frühere Protokollversion von PKINIT preauthentication verwendet.