DigitalPersona Pro für Active Directory Per Fingerabdruck ins Unternehmensnetzwerk

Autor / Redakteur: Manuela Reiss / Peter Schmitz

Mit der Version DigitalPersona Pro für Active Directory steht eine Client-Server-Lösung zur Verfügung, die fingerabdruckbasierte Authentifizierungen in Active Directory-Netzwerken unterstützt. Wie sich diese Biometrie-Lösung in bestehende Netzwerke implementieren lässt und worauf bei der Einrichtung zu achten ist, zeigen wir Ihnen in unserem Test.

Firmen zum Thema

( Archiv: Vogel Business Media )

Kennwortrichtlinien in Unternehmen sind häufig ein Kompromiss zwischen dem Wunsch nach Verwendung möglichst sicherer und komplexer Kennwörter auf der einen Seite und dem Streben der Anwender möglichst kurze, gut merkbare und möglichst nie ablaufende Kennwörter verwenden zu können auf der anderen Seite.

DigitalPersona Pro für Active Directory kann für beide Seiten eine interessante Lösung bieten: Hohe Authentifizierungssicherheit dank komplexer Kennwörter bei einfacher, komfortabler Anmeldung mittels Fingerabdruck an Domäne, Anwendungen und Webseiten. Die Übertragung des Fingerabdrucks erfolgt verschlüsselt, so dass ein Angreifer, der einen USB-Sniffer einsetzt, nur ein schwarzes Bild sieht.

Bildergalerie
Bildergalerie mit 5 Bildern

Für Administratoren ist aber noch anderes entscheidend: Wie einfach lässt sich eine solche Lösung implementieren und verwalten? In Bezug auf die Administrierbarkeit hat DigitalPersonal einen wesentlichen Pluspunkt zu bieten: Es integriert sich vollständig in Active Directory und nutzt dessen Funktionen. Dies beinhaltet neben der Speicherung der Anwenderauthentifizierungsdaten im Active Directory, und den damit verbundenen Vorteilen, wie Ausfallsicherheit und Lastausgleich, auch die Verwendung bestehender Sicherheitsrichtlinien sowie die Bereitstellung zusätzlicher Richtlinien in Form von ADM-Dateien. Zusätzlich werden die Daten lokal im Windows OTS protected Storage gespeichert, so dass sich die Benutzer, wie im normalen Domänenbetrieb, auch dann an der Domäne anmelden können, wenn der Domänencontroller nicht verfügbar ist.

Einfache Installation der Serverkomponente, wenn die Planung stimmt

Die Einrichtung beginnt mit der Installation von DigitalPersona Pro Server. Hierbei handelt es sich weniger um einen klassischen Installationsvorgang bei dem typischerweise eine Anwendung eingerichtet wird, als vielmehr um die Verankerung von DigitalPersona im Active Directory. Aus diesem Grund muss die Installation zwingend auf einem Domänencontroller und einzeln für jede Domäne, für die DigitalPersona die Authentifizierung bereitstellen soll, ausgeführt werden.

Außerdem muss der ausführende Administrator Mitglied der Gruppe Schema-Admins sein, da im ersten Schritt eine Schema-Erweiterung durchzuführen ist. Dies ist erforderlich, da DigitalPersona u.a. die Benutzerobjekte um einige Attribute erweitert und der Benutzerkontenverwaltung eine zusätzliche Registerkarte hinzufügt. Da ein Schema-Update nicht reversibel ist, kann an dieser Stelle nur geraten werden, dessen Auswirkungen im Vorfeld ausführlich zu prüfen und zu testen.

Die sich anschließenden Schritte sind mithilfe der (englischen) Anleitung zwar einfach durchzuführen, müssen aber ebenfalls geplant und getestet werden. Dies gilt vor allem für die Installation der Gruppenrichtlinien, die in Form von ADM-Dateien bereitgestellt werden. Die Einrichtung der Gruppenrichtlinien ist abhängig vom Active Directory-Design und der verwendeten Gruppenrichtlinienstruktur des Unternehmens und muss hieran ausgerichtet werden.

Problemlose Einbindung der Clients

Zum Lieferumfang der Arbeitsplatzversion gehört ein Fingerabdruck-Lesegerät, dass mittels USB an den Arbeitsplatzrechner angeschlossen wird sowie die erforderliche Clientsoftware. Die Installation kann sowohl lokal, als auch automatisiert erfolgen. DigitalPersona Pro unterstützt MSI-kompatible Softwareverteilungstools sowie die Installation mit Gruppenrichtlinien, so das die Verteilung der Clientsoftware auch in großen Netzwerken kein Problem darstellt, vorausgesetzt es handelt sich um einen Windows XP oder Windows 2000 Client. Windows Vista Clients werden derzeit noch nicht unterstützt.

Nach erfolgreicher Installation und Initialisierung des Fingerprint Readers muss jeder Anwender den so genannte „Fingerabdruckregistrierungs-Assistenten“ durchlaufen. Dabei steht es jedem frei, wie viele Finger er registrieren möchte. Sobald die Registrierung abgeschlossen ist, genügt ein leichter Druck auf das Lesegerät, um sich an der Domäne oder dank der One-Touch SignOn-Unterstützung auch bei Anwendungen oder Webseiten anzumelden. Das einmalige Hinterlegen der jeweiligen Anmeldeinformationen für Webseiten erfolgt in entsprechenden Eingabemasken. Für auswählbare Benutzer ist es aber auch möglich, zusätzlich zur Anmeldung per Fingerabdruck, die Eingabe der Windows-Anmeldeinformationen zu fordern. Damit können sicherheitskritische Benutzerkonten zusätzlich geschützt werden.

Fazit

Die Einrichtung der Serverkomponente ist zwar im Prinzip einfach durchzuführen, erfordert aber umfangreiche Planung und Tests, da die tief greifenden Veränderungen am Active Directory nicht umkehrbar sind. Die Installation der Clientsoftware hingegen stellt auch in großen Umgebungen dank der Automatisierungsmöglichkeiten kein Problem dar. Auch die Konfiguration bzw. spätere Administration ist aufgrund der vollständigen Integration in die Active Directory-Verwaltungsschnittstellen komfortabel möglich. Und Anwender können nun sichere und komplexe Kennwörter auch für Zugriffe auf Webseiten verwenden, da sie diese jeweils nur noch einmal eingeben müssen.

Infos Zum Produkt:

DigitalPersona Pro Server Software

  • Installation auf Windows Domain Controller mit Microsoft Windows 2003 Server oder 2000 Server (nur Standard Server und Enterprise Server - SmaII Business Server wird nicht unterstützt)
  • Microsoft Windows 2003 Server oder 2000 Server Active Directory
  • 10 MB verfügbarer Festplattenspeicherplatz
  • Zusätzlich 1 KB-5 KB Festplattenspeicherplatz pro Anwender

DigitalPersona Pro Workstation Software

  • Windows 2000 oder Windows Professional
  • One-Touch SignOn Unterstützung erfordert Microsoft Internet Explorer 6 Browser oder höher. Andere Browser werden nicht unterstützt.
  • 52 MB verfügbarer Festplattenspeicher

Unterstützte Fingerabdrucklesegeräte

  • Digital Persona U.are.U Reader
  • Viele Notebooks unterschiedlicher Marken mit integriertem Fingerabdrucklesegerät. Eine Liste der getesteten Modelle finden Sie unter www.digitalpersona.com/notebooks.

Artikelfiles und Artikellinks

(ID:2003764)