an unseren Windows PC (Windows 10) melden sich die Anwender grundsätzlich nur mit SmartCards an. Leider gibt es dabei ein Problem:
Plötzlich können die Anwender sich an ihren gesperrten PC’s nicht mehr anmelden. Nach langer Prüfung haben wir festgestellt, dass der Gnu-smartcardaemon Prozess die Smartcard exclusiv nutzt und somit für Windows sperrt.
Kann mit jemand sagen, wo ich den Daemon abstelle?
die Option ‘disable-scdaemon’ in der gpg-agent.conf sollte beim nächsten Rechner-Start
scdaemon nicht mehr verwenden. (Habe ich allerdings nicht selbst ausprobiert.)
ich habe gar keine gpg-agent.conf.
Kann wenn, aber auch nur ein Workaround sein, denn wer macht schon ein Exclusiv Zugriff auf eine Smartcard. Das kann nur schief gehen …
okay, das wäre ja kein Problem. Nur wie gesagt. Das kann nur ein Workaround sein, denn warum will der scdaemon einen Exclusivzugriff auf die Smartcard? Macht keinen Sinn (außer man würde schreibend auf die SC zugreifen). Hinzu kommt, dass der scdaemon nicht einmal einen PIN abfragt, somit der gesamte Smartcard Zugriff vom scdaemon keinen Sinn macht. Oder was will der scdaemon ohne Pinnabfrage auslesen?
Ein Problem ist das Kleopatra permanent versucht informationen über eine eingesteckte smartcard zu bekommen und somit wohl auslöst das scdaemon die karte blockt.
Der andere Teil des des Problems ist das scdaemon die karte dann blockt. Dies ließe sich aber durch ein kurzes abziehen und neu anstecken der Karte “wokarodunden”. Für den Exklusivzugriff gibt es meine ich gründe. Aber müsste auch nochmal nach diskussionen darüber suchen.
auch das Entfernen der Smartcard oder gar des gesamten Lesers, löst das Problem (als Workaround) nicht.
Frage ist doch, wieso überhaupt auf die Smartcard zugegriffen wird, denn die Zertifikate ließen sich auch über den Zertifikatspeicher direkt auslesen.
Jedenfalls sollte ein Lesezugriff niemals exklusiv erfolgen. Der exklusive Zugriff ist nur während eines Schreibvorganges sinnvoll und verlangt dann immer die Benutzer Pinn.
übergangsweise können sie den scdaemon ja abschalten.
Mittelfristig werden wir das in die Entwicklungsplanung aufnehmen
(was aber noch keine Verbesserung garantiert, schließlich muss die jemand
beitragen oder finanzieren.)