johny7: Login an einen Rechner binden

Moin allerseits,

mein Kunde möchte, dass das Login bestimmter Benutzer nur von bestimmten (bzw. von einem einzigen) Rechner aus möglich ist.
Wie kann ich das umsetzen? Ich dachte an das Auslesen der MAC-Adresse, aber das ist ja scheinbar nicht ohne weiteres möglich. Habt ihr einen konkreten Lösungsvorschlag oder Erfahrungen mit diesem Problem?

Mein Kunde will z.B. dass sich der Administrator nur von seinem Firmenrechner aus anmelden kann.

Grüße, JN

--
ie:{ fl:( br:^ va:| ls:[ fo:| rl:? n4:? ss:| de:] js:| ch:? sh:( mo:| zu:)
http://www.johny7.de
  1. Mein Kunde will z.B. dass sich der Administrator nur von seinem Firmenrechner aus anmelden kann.

    Ein System welches als Grundlage zur Erzeugung bestimmte Hardwarefaktoren nimmt, die nur auf dem Rechner des Administrators gegeben sind - z.B. ein Token/Dongle der an die Hardware (bzw. den Fingerprint) des Rechners gebunden wird und sich beim entfernen oder anstecken an einen anderen Rechern zurücksetzt und keine Passwörter mehr ausspuckt.

    Es ist aber kein Triviales unterfangen und ohne spezielle Hardware nicht möglich.

      1. Sollte nicht auch NTLM klappen? Dort bekommst du auf jedenfall den Hostanme mitgeliefert.

        1. Sollte nicht auch NTLM klappen?

          Sagt mir nichts

          Dort bekommst du auf jedenfall den Hostanme mitgeliefert.

          Wessen Hostnamen?

        2. Hi there,

          Sollte nicht auch NTLM klappen? Dort bekommst du auf jedenfall den Hostanme mitgeliefert.

          Den Hostnamen kannst Du wirklich leicht faken...

    1. Moin allerseits,

      Mein Kunde will z.B. dass sich der Administrator nur von seinem Firmenrechner aus anmelden kann.

      Ein System welches als Grundlage zur Erzeugung bestimmte Hardwarefaktoren nimmt, die nur auf dem Rechner des Administrators gegeben sind - z.B. ein Token/Dongle der an die Hardware (bzw. den Fingerprint) des Rechners gebunden wird und sich beim entfernen oder anstecken an einen anderen Rechern zurücksetzt und keine Passwörter mehr ausspuckt.

      Ich habe mir auch schon etwas ähnliches überlegt. Man könnte ja eine Datei auf dem Rechner ablegen, deren Vorhandensein dann überprüft wird. Die Frage ist nur: Wie kann ich überprüfen, ob auf dem Client die betr. Datei vorliegt?

      Grüße, JN

      --
      ie:{ fl:( br:^ va:| ls:[ fo:| rl:? n4:? ss:| de:] js:| ch:? sh:( mo:| zu:)
      http://www.johny7.de
      1. Ich habe mir auch schon etwas ähnliches überlegt. Man könnte ja eine Datei auf dem Rechner ablegen, deren Vorhandensein dann überprüft wird. Die Frage ist nur: Wie kann ich überprüfen, ob auf dem Client die betr. Datei vorliegt?

        Mit keinem Weg der nicht leicht zu fälschen wäre.

        Selbst das Login mittels Token beschränkt dich nicht.

        Das Passwort zum Login des Tokens kannst du natürlich beliebig auf einem anderen Rechner verwenden, nur zum generieren dieses 1x-Passworts musst du den Originalrechner haben.

      2. Mahlzeit johny7,

        Ich habe mir auch schon etwas ähnliches überlegt. Man könnte ja eine Datei auf dem Rechner ablegen, deren Vorhandensein dann überprüft wird. Die Frage ist nur: Wie kann ich überprüfen, ob auf dem Client die betr. Datei vorliegt?

        Mit handelsüblichen Browsern: gar nicht.

        Du solltest lieber - statt nach einer technischen Lösung für ein soziales Problem zu suchen - Deinen "Kunden" besser beraten.

        Was mich interessieren würde: *warum* will dieser "Kunde" das überhaupt? In welchem Umfeld will er das? Irgendwie fehlen für eine fachlich fundierte Antwort noch diverse Informationen, die Du bisher vorenthältst ...

        MfG,
        EKKi

        --
        sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
        1. Moin allerseits,

          Ich habe mir auch schon etwas ähnliches überlegt. Man könnte ja eine Datei auf dem Rechner ablegen, deren Vorhandensein dann überprüft wird. Die Frage ist nur: Wie kann ich überprüfen, ob auf dem Client die betr. Datei vorliegt?

          Mit handelsüblichen Browsern: gar nicht.

          Du solltest lieber - statt nach einer technischen Lösung für ein soziales Problem zu suchen - Deinen "Kunden" besser beraten.

          Nicht immer einfach, weil der Kunde sich ja meist als König fühlt...

          Was mich interessieren würde: *warum* will dieser "Kunde" das überhaupt? In welchem Umfeld will er das? Irgendwie fehlen für eine fachlich fundierte Antwort noch diverse Informationen, die Du bisher vorenthältst ...

          Der Kunde hat das am Rande erwähnt und ich bin noch gar nicht dazu gekommen, genau nach zu fragen. Es handelt sich um ein ERP-System. Der Kunde, in diesem Fall ein Chef, verspricht sich vielleicht bessere Sicherheit. Nach dem Motto, sogar wenn der Administrator das Passwort seiner Frau verrät, administrieren kann er sowieso nur bei mir im Büro. Oder er will nicht, dass der Administrator von zu Hause aus Dinge verändert.
          Er könnte ja sonst, wenn er z.B. gekündigt wird, aus Rache mal über das Internet das System seines Ex-Arbeitgebers abstellen. Wie auch immer,
          wahrscheinlich ist das eh alles Psychologie. Der Chef denkt: Wenn mein Administrator nur bei mir im Büro administrieren kann, habe ich die bessere Kontrolle.

          Man kann das natürlich jetzt mit dem Einschränken von IP-Adressen oder der Beschränkung auf das Intranet probieren. Aber ob ich den Kunden überzeugen werde?

          Grüße, JN

          --
          ie:{ fl:( br:^ va:| ls:[ fo:| rl:? n4:? ss:| de:] js:| ch:? sh:( mo:| zu:)
          http://www.johny7.de
          1. Mahlzeit johny7,

            Man kann das natürlich jetzt mit dem Einschränken von IP-Adressen oder der Beschränkung auf das Intranet probieren. Aber ob ich den Kunden überzeugen werde?

            Das *musst* Du - alles andere ist schließlich Humbug bzw. Vorgaukeln falscher Tatsachen ... und Du willst Deinen Kunden schließlich nicht falsch beraten, oder?

            MfG,
            EKKi

            --
            sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
          2. Hi!

            Der Kunde, in diesem Fall ein Chef, verspricht sich vielleicht bessere Sicherheit. Nach dem Motto, sogar wenn der Administrator das Passwort seiner Frau verrät, administrieren kann er sowieso nur bei mir im Büro. Oder er will nicht, dass der Administrator von zu Hause aus Dinge verändert.

            Man muss nicht unbedingt direkt vor dem Rechner sitzen. Es gibt genügend Fernwartungstools. Damit wird die Beschränkung auf irgendein Rechner-Merkmal sinnlos. Es sei denn der Administrator hat keine Möglichkeit, Programme nachzuinstallieren. Dann möchte ich aber nicht unbedingt Administrator bei solch einem nicht vertrauenswürdigen (in beide Richtungen) Chef sein.

            Lo!

            1. Moin!

              Es sei denn der Administrator hat keine Möglichkeit, Programme nachzuinstallieren.

              Äh? Wer bitte denn dann? Selbst wenn der Administrator einen Arbeitsvertrag als solcher hätte - er wäre schlicht keiner.

              MFFG (Mit freundlich- friedfertigem Grinsen)

              fastix

              1. Hi!

                Es sei denn der Administrator hat keine Möglichkeit, Programme nachzuinstallieren.
                Äh? Wer bitte denn dann? Selbst wenn der Administrator einen Arbeitsvertrag als solcher hätte - er wäre schlicht keiner.

                Was weiß ich? Ich kenne weder diesen paranoiden Chef noch die genaue Aufgabe des Administrators. Vielleicht soll letzterer gar nicht die PCs sondern nur ein einzelnes System administrieren.

                Lo!

                1. Moin!

                  Was weiß ich?

                  Das meinte ich: Wir haben keinerlei brauchbare Informationen über das Problem erhalten.

                  MFFG (Mit freundlich- friedfertigem Grinsen)

                  fastix

                  1. Moin allerseits,

                    Moin!

                    Was weiß ich?
                    Das meinte ich: Wir haben keinerlei brauchbare Informationen über das Problem erhalten.

                    Genau so ist es. Ich habe euch nur meine Vermutungen geäußert, keine expliziten Angaben gemacht, weil ich selbst keine genauen Angaben bekommen habe.
                    Es wird sich wohl wirklich nur um den Administrator des betr. Systems, nicht aller Computer handeln. Genau weiß ich es allerdings nicht. Aber eure Einwürfe werden mir im Gespräch auf jeden Fall nützlich sein.

                    MFFG (Mit freundlich- friedfertigem Grinsen)

                    dito

                    Grüße, JN

                    --
                    ie:{ fl:( br:^ va:| ls:[ fo:| rl:? n4:? ss:| de:] js:| ch:? sh:( mo:| zu:)
                    http://www.johny7.de
            2. Man muss nicht unbedingt direkt vor dem Rechner sitzen. Es gibt genügend Fernwartungstools. Damit wird die Beschränkung auf irgendein Rechner-Merkmal sinnlos. Es sei denn der Administrator hat keine Möglichkeit, Programme nachzuinstallieren. Dann möchte ich aber nicht unbedingt Administrator bei solch einem nicht vertrauenswürdigen (in beide Richtungen) Chef sein.

              Wenn das Merkmal eine Hardwarekomponente ist, die nur der Rechner hat, schon - eben ein Token mit einem Display wo das Passwort abzulesen ist und der NUR funktioniert wenn er exakt an diesem Rechner angesteckt ist da das "Gegenstück" dazu im Rechner verbaut ist.

              Aber das hindert niemanden dieses One-Time-Password einfach auf einen anderen Rechner für das Login zu verwenden - z.B. auf einem Notebook, welches der Administrator mit in sein Kämmerchen bringt und dann die offene Session mit nachhause nimmt :p

              1. Tach,

                Wenn das Merkmal eine Hardwarekomponente ist, die nur der Rechner hat, schon - eben ein Token mit einem Display wo das Passwort abzulesen ist und der NUR funktioniert wenn er exakt an diesem Rechner angesteckt ist da das "Gegenstück" dazu im Rechner verbaut ist.

                es gibt kein Merkmal, das eindeutig genug wäre, um einen Rechner eindeutig zu identifizieren, mit genug Energie/Zeit emuliere ich das System für den Dongle halt.

                mfg
                Woodfighter

                1. es gibt kein Merkmal, das eindeutig genug wäre, um einen Rechner eindeutig zu identifizieren mit genug Energie/Zeit emuliere ich das System für den Dongle halt.

                  Jaja ;) mit genug Energie/Zeit ist auch RSA-768 kein Problem - diese Argumentationsgrundlage ist schwach.

                  1. Tach,

                    es gibt kein Merkmal, das eindeutig genug wäre, um einen Rechner eindeutig zu identifizieren mit genug Energie/Zeit emuliere ich das System für den Dongle halt.

                    Jaja ;) mit genug Energie/Zeit ist auch RSA-768 kein Problem - diese Argumentationsgrundlage ist schwach.

                    ich dachte eher an Tage nicht an Jahre.

                    mfg
                    Woodfighter

                    1. ich dachte eher an Tage nicht an Jahre.

                      RSA Security ist sicher gespannt wie du securID in ein paar Tagen aushebelst - wenn man von Methoden wie dem Diebstahl des Rechners absieht.

                      Wie bereits erwähnt: auch ein derartiges System ist prinzipiell sicher, schützt aber nicht davor, dass jemand den Token klaut und sich einfach wo anders einloggt.

                      Üblicherweise werden solche Systeme in größeren Unternehmen verwandt, den Token gibtst du beim "Portier" ab bevor du Nachhause gehst - somit ist ein Zugriff von aussen kaum möglich.

                      1. Tach,

                        RSA Security ist sicher gespannt wie du securID in ein paar Tagen aushebelst - wenn man von Methoden wie dem Diebstahl des Rechners absieht.

                        securID identifiziert keine Rechner, oder habe ich das nur übersehen? Mir würde wie gesagt bei Standard-Hardware auch nichts einfallen, was eindeutig genug und nicht zu emulieren wäre.

                        mfg
                        Woodfighter

                        1. securID identifiziert keine Rechner, oder habe ich das nur übersehen?

                          Sicher lassen sich mit securID einzelne Rechner identifizieren -  mit einem 40-Euro-Token aber nicht, da muss man schon tiefer in die Tasche greifen.

                          Mir würde wie gesagt bei Standard-Hardware auch nichts einfallen, was eindeutig genug und nicht zu emulieren wäre.

                          Es ist aber kein Triviales unterfangen und ohne spezielle Hardware nicht möglich.

                          ;)

                          1. Tach,

                            securID identifiziert keine Rechner, oder habe ich das nur übersehen?

                            Sicher lassen sich mit securID einzelne Rechner identifizieren -  mit einem 40-Euro-Token aber nicht, da muss man schon tiefer in die Tasche greifen.

                            ich finde dazu nix auf der RSA-Homepage, kannst du mich da mal mit der Nase drauf stoßen?

                            mfg
                            Woodfighter

  2. Hallo Johny,

    ich glaube das ist in der Form nicht möglich, wenn die Seite über das www erreichbar sein soll. Du könntest höchstens einen IP-Bereich (den der Firma) überprüfen und dementsprechend handeln. Das heißt dann aber noch lange nicht, dass dann nur ein einziger Rechner darauf zugreifen kann und auch nicht, dass nur innerhalb der Firma darauf zugegriffen werden kann. Du hättest so lediglich den Bereich eingeschränkt.

    Gruß, Dennis

  3. Hi there,

    Mein Kunde will z.B. dass sich der Administrator nur von seinem Firmenrechner aus anmelden kann.

    Wie wasserdicht soll denn das sein? Für "nur deppensicher" wären einige Lösungen denkbar; für "hacker-proof" so gut wie keine. Am besten wäre wahrscheinlich eine VPN-Lösung. Entscheiden ja auch die Frage, was nach dem Login passieren soll, ob dann in einem Browser weitergearbeitet wird oder ob nur ein paar Parameter zu ändern sind oder was weiss ich...

  4. Moin!

    mein Kunde möchte, dass das Login bestimmter Benutzer nur von bestimmten (bzw. von einem einzigen) Rechner aus möglich ist.

    Ja. Toll. Gut, dass Du uns alles wichtige beschrieben hast. Z.B. ob es sich um eine Intranet oder Internet-Lösung handelt, wie die IP-Adressen im Netzwerk verteilt werden, ob ein eigener DNS existiert, ob DHCP verwendet wird, welche Art der Anmeldung überhaupt verwendet wird, welcher Server überhaupt verwendet wird ... ob Du schon mal phpinfo() eingegeben hast...

    So rate ich Dir dazu in der Serverkonfiguration oder in der Verzeichniskonfiguration einfach nur den Rechner des Administrators freizugeben und alle anderen zu verbieten. Da muss ich nämlich fast nichts schreiben.

    MFFG (Mit freundlich- friedfertigem Grinsen)

    fastix

  5. Hello,

    mein Kunde möchte, dass das Login bestimmter Benutzer nur von bestimmten (bzw. von einem einzigen) Rechner aus möglich ist.

    Kontrollierten VPN-Zugang einrichten?

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de