Smartcard in einer virtuellen Maschine

[mainziman]

Hallo,

habe via USB am XP64 Host folgendes Geräte angeschlossen
Chipkartenleser SmartCard OMNIKEY CARDMAN 3121 USB HBCI

dieses soll NUR in einer einzigen virt. Maschine verwendet werden - ein Win 7 Guest
(am Host wird dieser nicht benötigt und auch bei den anderen VMs nicht)

es funktioniert "alles" bis auf den Umstand, daß ich bei allen anderen virtuellen Maschinen, welche bei der Hardware einen "USB Controller" present haben, beim Start, Resume folgende Meldung rechts unten bekomme:

"Could not initialize emulated smart card subsystem"

was habe ich falsch gemacht?
ich habe den Kartenleser nur mal auf einen anderen Port angesteckt - zum Test auf einem Port vorne, und dann endgültig hinten;

weiß jemand etwas?

Besten Dank für Hilfe / Tipps / Anregungen

[Nukite2007]

Servus,

also wir nehmen Geräte wie Silex SX-3000GB Geräteserver.

Damit ist der USB-Port und somit der Kartenleser genau an dem Arbeitsplatz wo er auch benötigt wird und auch nur für die VM, die die entsprechende Software installiert hat.

VG
Peter

[mainziman]

Wenn ich den Chipkartenleser nicht angesteckt habe, kommt dennoch jetzt diese Fehlermeldung rechts unten beim Start bzw. Resume der entsprechenden Virtuellen Maschinen.

Wie bringe ich diese Fehlermeldung weg?

[Dayworker]

Du mußt ja an irgendeiner Stelle das USB-Gerät ausgewählt haben und an derselben Stelle kannst du die Zuweisung auch wieder rückgängig nachen. Mehr als den Haken wieder raus ist es nicht.

[mainziman]

Hallo,

das scheint etwas seltsamer zu sein; ich hatte bei dieser einen VM, wo das USB-Gerät verwendet werden soll, bei USB-Controller 'Show all USB input devices" ausgewählt;
den Fehler bekomme ich auf allen anderen, welche bei der Hardware einen USB-Controller dabei haben, die ich gar nicht verändert habe ...
ein paar virtuelle Maschinen z.B. mit WinNT, welche keinen USB-Controller in der Hardware hat, liefert diesen Fehler auch nicht ...

sehr sonderbar;

angemerkt sein: daß mein WinXP x64 Host per Plug&Play einen Smartcard Reader erkannt hat, ich nehme aber an nur einen generischen Treiber installiert; sonst habe ich am Host nichts gemacht;

[Dayworker]

Bei "Show all USB input devices" dürfte eine Automatik in Gang gesetzt worden sein, bei der zukünftig alle USB-Geräte immer an die gerade startende VM übergeben werden. Wenn mehrere VMs mit USB-Controller bereits gestartet sind, werden nur noch die verbliebenden USB-Geräte durchgereicht. Also Haken bei "Show all USB input devices" wieder raus und die Meldungen sollten verschwinden.


Bei deiner alten WS- und OS-Version brauchst du für USB-Geräte, die nur im Gast (VM) funktionieren sollen, überhaupt keinen Treiber auf dem Host installieren. Die beste Lösung dazu war eigentlich immer, entweder das Gerät im Host ohne Treiber zu lassen oder dieses im Host-OS zu deaktivieren.

Der "Silex SX-3000GB" Geräteserver ist ja nicht schlecht, aber auch nicht besonders preiswert. Ich würde vorher erstmal nachsehen, ob dein Chipleser irgendwo als "HID-Device/Gerät" im Gerätemanager eingeloggt wird. Wenn dem so wie ich vermute ist, liefert http://sanbarrow.com/vmx/vmx-usb-ports.html den Parameter zur Umgehung der HID-Gerätesperre:

Code: Alles auswählen

usb.generic.allowHID = "true"

Einfach manuell über einen ASCII-Editor (kein Word und Co, da die irgendwelche Formatgrütze mit reinschreiben) in die VMX eintragen und dann sollte es funktionieren.
Sobald du den Parameter eingetragen hast, mußt du beim Start der damit ausgestatteten VM immer aufpassen, auch das richtige USB-Gerät auszuwählen. Falls du dabei Maus oder Tastatur des Hosts erwischst, steht dieser ohne beides da und du kommst nur noch Remote über RDP, VNC, SSH oder auch Teamviewer an die VM heran.

[mainziman]

Soll dieser Eintrag bei allen meinen VMs im .vmx-File, welche in der Hardware 'USB Controller' gelistet haben, eingetragen werden?

bei dieser, welche dieses Gerät verwendet dann zusätzlich noch das hier:
kb.vmware.com/kb/1648

ein Unterschied zum Rechner in der Arbeit: selbe VMware WS, nur Win 7 64-bit als Host-OS

dort befindet sich rechts unten jeweils noch ein Symbol dessen Tooltop: "Virtual OMNIKEY CardMan 3x21 0" zeigt;

dort bekomme ich bei Start bzw. Resume der VMs diese Fehlermeldung auch nicht;

liegt das an den nicht installierten Treibern am Host bei mir zu Hause?
in der Arbeit sind die Treiber am Host installiert, dort wird diese auch beim Host mittels Smartcard-Login verwendet;

[mainziman]

nach etwas Testen, bin ich auf folgendes gekommen

läuft WS 7.1.6 unter Win 7 dann funktioniert das ohne Admin Rechte, ein eingeschränkter User genügt;

läuft hingegen WS 7.1.6 unrter XP x64 dann braucht man hier Admin Rechte, sonst kommt bei jeder virt. Maschine die man startet die Warning: "Could not initialize emulated USB smart card subsystem."

Daher die Frage beim XP x64: welche Berechtigung schlägt hier beim "Power User" gegenüber dem "Administrator" fehl?

Mit besten Dank für die Hilfe ...


vmware.log

hier ohne Admin Rechte

Code: Alles auswählen

Jan 20 22:21:01.035: vmx| USB: Initializing 'Virtual CCID' backend
Jan 20 22:21:01.050: vmx| USB-CCID: Could not establish resource manager context for reader enumeration: UNKNOWN_0x3f0(0x3f0).
Jan 20 22:21:01.050: vmx| Msg_Post: Warning
Jan 20 22:21:01.050: vmx| [msg.usbccid.initFailed] Could not initialize emulated USB smart card subsystem.
Jan 20 22:21:01.050: vmx| ----------------------------------------
Jan 20 22:21:01.066: vmx| USB: Unable to initialize 'Virtual CCID' backend


hier mit Admin Rechte:

Code: Alles auswählen

Jan 20 21:00:57.821: vmx| USB: Initializing 'Virtual CCID' backend
Jan 20 21:00:57.821: vmx| Setting thread 38 stack size to 1048576.
Jan 20 21:00:57.821: usbCCIDEnumCards| USB-CCID: Card enum thread created.
Jan 20 21:00:57.821: vmx| WORKER: Creating new group with numThreads=1 (19)


[Dayworker]

Hast du die UAC von Win7 ausgeschaltet oder steht der Regler nicht am oberen Anschlag?
Win7 ist bei dir 32 oder 64bit?

Alles XP-artige ist nicht wirklich für den Einsatz mit eingeschränkten Benutzerrechten eingerichtet, weil weder andere SW-Hersteller noch Winzigweich selbst darauf geachtet haben. Defakto verläßt sich jedes Programm einfach auf vorhandene Admin-Rechte.

Code: Alles auswählen

usb.generic.allowHID = "true"

Gehört nur in die VM, wo du den Smartcard-Reader haben willst.

Hast du inzwischen die Einstellung "Show all USB input devices" zurück genommen?

Der KB-Eintrag Automatically connecting USB devices at virtual machine power on (1648) hilft dir nur weiter, wenn du dasselbe USB-Geräte auf diesem Host nicht immer manuell reinreichen, sondern dies beim VM-Start automatisch passieren soll. Solange du "Show all USB input devices" nicht rückgesetzt hast, kannst du dich vom Host bei falscher Geräteauswahl aber auch komplett abschneiden und die VM ist dann hoffentlich noch über das Netzwerk erreichbar. Falls nicht, was bei einer VM mit Host-only der Fall ist, kannst du den Host nur noch hart abschalten, da Maus und Tastatur dann nur noch in der VM funktionieren.


Deine Ausschnitte helfen nicht weiter, da sie immer im Gesamtkontext gesehen werden müssen. Verlinke diese immer auf einen Freehoster ohne Flashmüll und Zwangsanmeldung, hier gehen keine Anhänge mehr.
Posten von Logs macht auch keinen Sinn, die Foren-SW schneidet nach X-Tausend Zeichen rigoros ab.

[mainziman]

Windows 7 ist 64-bit und UAC ist aktiv; Rechte bzw. Beschränkungen werden vom Admin per Group-Policy vorgegeben - sprich Win7 ist in der Arbeit;

Lt. Manual von VM steht einzig die Notwendigkeit von administrativen Rechten in Wndows bei der Installation und beim Verwenden von SCSI-Geräten in der VM;

Ich verwende nur zufällig zu Hause (XP x64) die selbe VMware Workstation Version als in der Arbeit;

Die Einstellung "Show all USB input devices" hab' ich zurückgenommen, hatte diese nur bei der einen, wo ich den Smartcard Reader haben will;

Klar, man kann mittels eines automatischen "reinziehen" von Geräten den Host schnell "unbrauchbar" machen;

Um es zusammenzufassen - das einzige "Problem" sind zu Hause mit WinXP x64 die seltsamen Warnungen, welche bei jeder VM beim Start bzw. Resume kommen;
(starte ich VMwkst. mit Admin-Rechten kommen diese nicht)

Es müsste doch grundsätzlich möglich sein, auch mit WinXP x64 zu Hause, genau so wie in der Arbeit mit Win7 64-bit, virt. Maschinen ohne dieser seltsamen Warnungen starten zu können, oder nicht?
diese Warnungen sind seit ich zu Hause den Kartenleser angesteckt habe ...

[Dayworker]

Du bist also Mitglied einer Domäne. Das ändert so einiges, allerdings hast du immer noch nicht über das UAC-Level gesagt. Du müßtest dort 4 oder 5 Level haben. Im Gegensatz zu Vista mit Defaulteinstellung 5, also ganz nach oben gezogenem Regler und somit die vielen UAC-Nervmeldungen, müßte dieser bei Win7 eine Stufe unter Maximum stehen und somit nur wesentlich weniger UAC-Meldungen produzieren.

Als Mitglied einer Domäne könnten dir auch weit höhere Rechte eingeräumt sein, als es dein benutzter, eingeschränkter Account vermuten läßt.

[mainziman]

Ja in der Arbeit; aber zu Hause ist das ein Standalone-PC; und dort würd ich gerne die vielen Warnmeldungen wegbekommen .... ich habe x virt. Maschinen am Laufen:
- Mail server (CentOS)
- Proxy server (CentOS)
- DNS server (CentOS)
- Web server (CentOS)
- ein PC-BSD
- ein Win7 (das mit der Smartcard)
- ein Win7 und ein Vista
- fallweise ein Win 2k3R2 x64 od Win 2k8R2 x64
- mehrere WinXPs (auch x64)

[Dayworker]

Die VMware-Aussage bezüglich der Admin-Rechte halte ich für unvollständig, da sowieso kaum jemand, wenn nicht sogar niemand, ohne Admin-Rechte gearbeitet hat. Selbst Office lies sich unter XP mit einem eingeschränkten Account nur mit nachgearbeiteten Rechten vollständig benutzen. Für einige Sachen mußt erst ein Admin alle Office-Bestandteile einmal starten, damit die entsprechenden Registry-Zweige überhaupt erst erstellt wurden.

Auch heutzutage brauchen viele VMware-Desktopprodukte noch zuviele Rechte. Selbst der "vmware-vdiskmanager" ist davor nicht völlig befreit. Wenn du die Rechte nicht manuell über Sysinternals Registry-Monitor rausprimmeln willst, starte die WS einfach als Admin. Ist zwar ein Sicherheitsrisiko, aber bedeutend schneller.

[mainziman]

hab einen eigenen Admin-User angelegt, und starte VMware-Workstation als dieser Benutzer;

wobei seltsames Detail am Rande ...
seit ich das gemacht habe, schlagen auf meinem Router alle paar Minuten Zugriffe nach außen nach 2.21.99.51 mit port 443 auf ...
(ein Zugriff im Browser auf https://2.21.99.51 schlägt mit einem Zert. Fehler auf, bei dem unter Details was von *.vmware.com angezeigt wird ...)

irgendwie seltsam ...

den Prozess
c:\programme\vmware\vmware workstation\vmware-tray.exe
werd ich in der Registry auch zu diesem User verschieben und aus HKLM entfernen;

damit dürfte das Problem behoben sein;

im Prinzip wüßte ich ja, welche Berechtigung fehlt, nur weiß ich nicht wo ich diese einstellen kann ...

"Could not establish resource manager context for reader enumeration"

vielleicht weiß es jemand, dann kann ich dem User die Adminrechte entziehen, und ihn an Stelle dieses Recht einräumen ...

[Dayworker]

Wieso seltsam? Sämtliche VMware-Desktopprodukte phonen in regelmäßigen Abständen (täglich, wöchentlich, monatlich oder aus) heimwärts, damit sie dir vorliegende Updates anzeigen können. VMware will mit diesem Traffic nicht unbedingt seine eigenen Webserver auslasten, das schafft sowieso jedes neue Release, und eh genügend Caching-Provider rund um den gesamten Globus verteilt sind, nutzt man halt diese. Ein "whois 2.21.99.51" ergibt daher folgerichtig auch:

Code: Alles auswählen

inetnum:        2.21.96.0 - 2.21.111.255
netname:        AKAMAI-PA
descr:          Akamai Technologies

Wegen deiner fehlenden Rechte sieh dir den bereits erwähnten Registry-Monitor von Sysinternals an. Du wirst diese sicherlich manuell in die Registry nachtragen oder von einem anderen Account kopieren müssen, aber erwarte nicht zuviel. Einige Funktionen werden möglicherweise aufgrund immer noch fehlender Rechte oder Registry-Einträge trotzdem scheitern. In neueren Produktversionen ab WS8 bzw zugehörigem Player (Version 4 ???) nutzt VMware auch einen völlig anderen Ansatz und kann dann darüber endlich auch den VM-Start/Stopp bei Host-Start/Stopp der Workstation realisieren.

[mainziman]

Ist es wirklich logisch, wenn es mit Adminrechten läuft, daß alle 10 Min. nach Hause telephoniert wird, und ohne Adminrechte, "nichts" passiert?

[Dayworker]

Ja. Die WS7-Reihe ist seit September 2011 nicht mehr erhältlich und seit Oktober 2011auch ausserhalb jedweden Supports. Mit eingeschränkten Rechten kann die WS vermutlich ihren "Update-Server" nicht erreichen und mit Admin-Rechten bekommt sie keine für sie logische Antwort mehr. Daher fragt sie zur Sicherheit einfach noch regelmäßiger nach.

Ich würde die Suche nach Updates daher in der WS einfach abstellen. Der Menupunkt dazu sollte sich unter "Hilfe" und "Check for Updates on the Web" verstecken.