Dies ist ein neuer Beitrag zu den Möglichkeiten, einen linuxbasierten ThinClient für den Aufbau der RDP-Verbindung zu einem Windows Terminalserver zu verwenden.
Vorhanden sind Yubico Yubikeys in unterschiedlichen Versionen.
Anforderungen:
VPN-Authentifizierung mit Smartcard
Authentifizierung ggü. Terminal-Server mit Smartcard
Durchreichen der lokal gesteckten Smartcard zu Terminalserver, um dort smartcardbasiert zu arbeiten
Probleme & Showstopper:
Die VPN-Einwahl funktioniert via Smartcard mit OpenVPN mit Einschränkungen:
Relevanter-Code:
pkcs11-providers /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
pkcs11-id ‚piv_II/PKCS\x2315\x20emulated/192efe0fbc096a80/John\x20Doe/01‘
Problem hier ist, dass nach der ersten Erneuerung des Zertifikates auf der Smartcard, die pkcs11-id hinten hochzählt (01.. 02.. 03) Dies macht manuelle Anpassungen in der Clientkonfiguration nötig, was nicht schön ist. Mangels vorhandener GUIs für OpenVPN unter Linux und der Limitierungen von Gnome Network-Manager, gibt es hier auch keine einfache Möglichkeit, dass der User – wieunter Windows – das gewünschte Zertifikat auswählt[2]
Der RDP-Client Remmina kann zwar eine Smartcard an den Terminalserver durchreichen, jedoch keine smartcardbasierte Anmeldung am Terminalserver selbst[1]
Der dem Ganzen zugrundeliegende client xfreerdp kann zwar die Smartcardauthentifizerung ggü. einem Terminalserver, jedoch kein NLA, was standardmäßig auf TS aktiv ist. Dies zu deaktivieren, schwächt erheblich die Sicherheit des Terminalservers und ist auch nicht empfohlen.
Aus man 5 xfreerdp
/smartcard-logon Activates Smartcard Logon authentication. (EXPERIMENTAL: NLA not supported)
[1] https://gitlab.com/Remmina/Remmina/-/issues/2953
[2] https://gitlab.freedesktop.org/NetworkManager/NetworkManager/-/issues/1792