USB-Server für Smartcards/USB-Dongles

Ein laut dem Netz beliebtes Problem bei IT-Administratoren: USB-Dongles und Server-Virtualisierung. Wenn man z. B. DATEV im Einsatz hat, dann benötigt man zur Authentifizierung bzw. als Lizenz einen USB-Dongle bzw. eine Smartcard.

 

Problem

Sowohl unter aktuellen VMware-Versionen, bei HyperV sowieso, lässt sich ein Dongle nicht vernünftig an eine VM durchreichen. Bei VMware hat dies in der Vergangenheit, zumindest bei Version 5.1, zwar funktioniert, aber offiziell unterstütz war es laut meiner Recherche wohl eigentlich noch nie. Das Durchreichen von USB-Geräten ist wohl eher nur was für Speichersticks oder Festplatten.

Der Dongle wurde zwar unter ESXi 6.7 als USB-Gerät erkannt und lässt sich der entsprechenden VM auch zuweisen, aber sobald man diese hochfährt verschwindet der Eintrag aus der Konfiguration der VM.

Einen Hack, den ich bezüglich dieses Problems gefunden habe, bei welchem man die .vmx-Konfigurationsdatei der betroffenen VM modifizieren muss und danach am besten den ganzen Host-Server mal durchstartet, hat leider bei mir nicht funktioniert:

 

Lösung

Die einzige brauchbare Lösung bleibt ein USB-Server. Mithilfe eines Treibers/Tools auf dem Server kann dieser Server, bei dem es sich nur um eine kleine Box mit USB- und Netzwerkanschluss handelt, das USB-Gerät über das Netzwerk ansprechen, so als wäre es direkt am Computer angeschlossen.

Die erste Idee war es, einfach eine herumliegende FritzBox mit der USB Fernanschluss-Funktion zu nutzen. Da die Erfahrungen hier aber mal so und mal so ausgefallen sind und das Tool von AVM an sich auch nicht so den aktuellsten Eindruck macht, habe ich mich dagegen entschieden dies weiter zu verfolgen. Wenn es funktioniert spricht natürlich nichts gegen den Einsatz. Eine Absicherung ist natürlich auch möglich, da man die FritzBox per Passwort absichern kann und der Zugriff auf das USB-Gerät auch nur mit Passwort möglich ist.

Alternativ dazu benutzen wohl auch einige ein NAS als USB-Server, wenn es entsprechende Apps für die Bereitstellung gibt. Ob das allerdings so clever ist, sofern man das NAS noch für andere Dinge nutzt und es eventuell mal neu starten muss, während die Kollegen eigentlich den Dongle benötigen.

Zum Einsatz kam nun ein „Silex DS-510“, der auch auf der Webseite der DATEV als nutzbar angegeben wird. Die Bedienung ist relativ simpel. Nachdem man das Setup von der Webseite besorgt hat, kann man mit diesem nach dem USB-Server suchen. Die manuelle Eingabe der Mac-Adresse war leider nicht möglich, da diese weder auf dem Aufkleber auf dem Gerät noch irgendwo auf dem Karton gestanden hat?!:

 

 

Im nächsten Schritt legt man am besten manuell die IP-Konfiguration fest:

 

Nach dieser Installation ist die weitere Konfiguration über die im Browser aufrufbare Konfigurationsseite möglich:

 

Ganz wichtig: Unter dem Punkt „Security“ sollte man den Zugriff auf die nötigen IP-Adressen des Intranets einschränken, in diesem Fall z. B. den Admin-Rechner und den DATEV-Server:

 

Wenn man eine Absicherung über eine esterne Firewall vornehmen will, sollte man den USB-Server in ein getrenntes internes Netzwerk verfrachten und kann dann die Zugriffsregeln über die Firewall vornehmen.

Die Verbindung mit dem USB-Server läuft mit dem Client-Tool, das man in einem einzelnen Setup ebenfalls von der Herstellerseite bekommt, sehr einfach fast von selbst ab:

 

 

Das verbundene USB-Gerät wird sogar mit dem korrekten Gerätenamen angezeigt. Eine wichtige Einstellung die man bei einem Dongle vornehmen sollte ist das „Automatische Verbinden“ des Geräts. Hierzu macht man einfach einen Rechtsklick auf das angezeigte USB-Gerät und setzt bei den entsprechenden Punkten unter „Verbinden“ ein Häckchen:

 

Eine grundlegende Einstellung die man noch vornehmen sollte, ist der automatische Start des Tools beim Windows-Start und dessen Minimierung in den Task-Tray:

 

Auch wenn der USB-Server vermutlich irgendwo im Serverraum steht, habe ich trotzdem das automatische Verbinden mit neuen USB-Geräten deaktiviert gelassen.

 

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Schreibe einen Kommentar