Vor XenDesktop 7 lieferte Citrix XenApp und XenDesktop Distributionen zusammen mit dem Zugangsdienst Webinterface aus und dort konnte der Administrator oberhalb der Microsoft Internet Information Services Web Services und Site Services einrichten. In der Grundeinstellung wurden diese Dienste für unverschlüsseltes HTTP Protokoll konfiguriert. Wer den Zugang sichern wollte, der konnte das durch Aufspielen von Zertifikaten auf den Webinterface Servern und anschließende Änderung der Bindung dieses Diensten auf HTTPS erreichen oder er hat zusätzliche Secure Gateway, Access Gateway oder NetScaler aufgebaut und vor die Farm gestellt. Die Architektur entsprach dann im Wesentlichen dem folgendem Bild.
Prior to XenDesktop 7, Citrix XenApp and XenDesktop distributions have been delivered together with Webinterface. Administrators had to configure the access point services Web Services and Site Services which work above Microsoft Internet Information Services. By default these services had to be configured for unencrypted HTTP protocol. Those, who wanted to secure access to XenApp and XenDesktop, could achieve this by uploading a certificate to the Web Interface servers and then change the binding of this service to HTTPS. The more sophisticated and vendor-recommended method to secure access to a citrix farm or site makes use of additional components like Secure Gateway, Access Gateway or NetScaler which has to be placed between Clients and the farm. The architecture then corresponded to the following figure.
Access Gateway und NetScaler sind im Gegensatz zu Secure Gateway in der Lage, die Authentikation sitzungsanfragender Benutzer selbst zu verantworten. Gemäß einstellbarer Richtlinien können sie eine lokal konfigurierte Benutzerverwaltung konsultieren oder sie befragen einen externen Verzeichnisdienst, beispielsweise LDAP oder RADIUS. Derart konfigurierte NetScaler Appliances präsentieren dem Anwender eine Anmeldemaske, die etwa so aussieht wie im nachstehenden Bildschirmfoto angezeigt.
Access Gateway and NetScaler, in contrast to Secure Gateway, can handle the point of authentication themselves on a user’s request to open a session. According to the configured policy, the systems consult a locally configured password management or they query an external directory service like LDAP or RADIUS. With such a configuration, NetScaler appliances for example provide the user with a login screen that looks similar to the following screenshot.
Grundsätzlich ist es möglich, das Erscheinungsbild des NetScaler Logon-Dialogs individuellen Wünschen anzupassen und geeignete Alternativen sind von verschiedenen Autoren erhältlich. Dem Einsatz solcher thematisierter Logon-Screens steht jedoch entgegen, dass der Hersteller Citrix sich nicht für eigenmächtige Veränderungen an gehärteter Systemsoftware verantwortlich fühlt und der Anwender letztlich die Voraussetzungen für einen gültigen Wartungsvertrag verlässt, wenn er eine nicht vom Hersteller unterstützte Änderung durchführt.
Die Alternative besteht darin, den Login Dialog außerhalb von NetScaler oder Access Gateway zu platzieren. In NetScaler beispielsweise ist einem virtuellen Access Gateway Server auf der Konfigurationsseite zur Authentikation einfach die Funktion „Enable Authentication“ abzuwählen.
Basically, it is possible to customize the appearance of the NetScaler Logon dialog according toindividual needs. Some suitable alternatives are available from various authors. However, most of the available themed logon Screens are not officially supported by Citrix. Be informed that usually the manufacturer does not feel responsible for malfunction after unauthorized modifications on hardened system software. In a worst case this may lead to void a valid maintenance contract.
The alternative is to place the login dialog outside of NetScaler or Access Gateway. On a virtual NetScaler Access Gateway server configuration page, authentication tab, one simply has to deselect the checkbox „Enable Authentication“.
Nun leitet NetScaler als Gateway zu XenDesktop 7 eingehende HTTP-Anfragen an StoreFront weiter. StoreFront erkennt, dass NetScaler ihn beliefert. Statt eine Anmeldemaske zu präsentieren reagiert StoreFront jedoch mit dem Kommentar, die Anforderung könne nicht abgeschlossen werden.
NetScaler now acts as a gateway to XenDesktop 7 who forwards incoming HTTP requests to StoreFront. Storefront recognizes beeing delievered by NetScaler. However, instead of presenting a login screen Storefront reacts with the comment, the request could not be completed.
Ein Blick in die Ereignismeldungen des Systems, auf dem StoreFront installiert wurde, zeigt an, dass Single Sign-on umgesetzt werden sollte, jedoch das Passwort nicht akzeptiert wurde und die erkannte Benutzerkennung „Anonymous“ sei.
A look at the event messages of the StoreFront system shows that single sign-on should be played out but the password was not accepted and the recognized user name is „Anonymous“.
Auf der Seite von NetScaler ergibt eine Abfrage an die Liste der aktuell aktiven Benutzersitzungen, dass er tatsächlich eine Sitzung ohne registriertes Benutzerkonto zwischen einem Arbeitsplatzsystem 192.168.199.151 und einem virtuellen NetScaler Server 192.168.199.222 unterhält.
At NetScaler, a query to the list of currently active user sessions shows an active session is maintained between a workstation with IP 192.168.199.151 and a virtual NetScaler server 192.168.199.222 without a known user account.
Ursache des Verhaltens ist, dass vermeintlich vergessen wurde, dem StoreFront mitzuteilen, dass er selbst für die Authentikation des Benutzers zuständig ist. Administratoren von XenApp 6.5 oder XenDesktop 5.6 kennen das Problem und konfigurieren bei der Erstellung eines Web Service zu Webinterface 5.4 den Authentikationspunkt auf das Webinterface.
Cause of the behavior is that the administrator forgot to tell StoreFront that now he himself is responsible for authentication of the user. Administrators of XenApp 6.5 and XenDesktop 5.6 know the problem and, when creating a web service for Web Interface 5.4, they configure the point of authentication at Web Interface.
In seinem Wissensartikel CTX132787 XenDesktop 5.6 with Receiver StoreFront and Access Gateway zeigt Citrix, dass der Schalter „Users must log on at Access Gateway“ das Verhalten von StoreFront manipuliert.
In his knowledge article CTX132787 XenDesktop 5.6 with Receiver Storefront and Access Gateway Citrix shows that the switch „Users must log on at Access Gateway“ manipulates the behavior of StoreFront.
Besagter Artikel referenziert jedoch nicht, auf welche Version von StoreFront sich der Beitrag bezieht (This document applies to XenDesktop 5.6 x32) und der Hersteller bietet aktuell nur StoreFront 1.2 sowie StoreFront 2.0 auf seinen Webseiten zum Download an. Seit StoreFront 1.2 fehlt die Option „Manage Logon Methods“ zu „Receiver for Web“.
However, the article does not point out to which version of Storefront it refers (This document applies to XenDesktop 5.6 x32). For now, the manufacturer currently only offers Storefront Storefront 1.2 and 2.0 on ist website for download. Since Storefront 1.2, the „Management Methods Logon“ option is missing at configuration page „Receiver for Web“.
Zu beiden StoreFront Versionen 1.2 und 2.0 vermerkt Citrix sich in seinen eDocs die Hinweise (http://support.citrix.com/proddocs/topic/dws-storefront-12/dws-known-issues.html, http://support.citrix.com/proddocs/topic/dws-storefront-20/dws-known-issues.html) „Users cannot access resources after disabling Pass-through from NetScaler Gateway authentication“ und die Anleitung zur Lösung des Problems lautet „To resolve this issue, set the value of the requireTokenConsistency attribute to false in the store configuration file if you disable the Pass-through from NetScaler Gateway authentication method“.
Tatsächlich verwaltet StoreFront zu einem Store mehrere Dienste. Ein Blick auf die Konfiguration des Internet Information Services (IIS) Manager gibt Auskunft über die komplexe Hierarchie, die StoreFront bedient.
To both StoreFront versions 1.2 and 2.0, Citrix eDocs stated in his known issues that (http://support.citrix.com/proddocs/topic/dws-storefront-12/dws-known-issues.html, http://support.citrix.com/proddocs/topic/dws-storefront-20/dws-known-issues.html) „Users can not access resources after disabling pass-through from NetScaler gateway authentication“ and the instructions for solving the problem is „to resolve this issue , set the value of the requireTokenConsistency attribute to false to store the configuration file if you disable the pass-through from NetScaler Gateway authentication method“.
Actually, StoreFront managed several services on a store. A look at the configuration of Internet Information Services (IIS) Manager provides information about the complex hierarchy that StoreFront operates on.
Die Konfigurationsdatei zum Store liegt als web.config im Verzeichnis Store unterhalb Citrix. Sie enthält XML-formatierte Konfigurationsattribute und kann mit einem gewöhnlichen Editor bearbeitet werden.
The store’s configuration file is web.config located inside the store directory below Citrix. It contains XML-formatted configuration attributes and can be edited with any text editor.
Der relevante Ausdruck befindet sich etwa in der Mitte der 48 kByte großen Datei. Wir haben außerdem den Wert von „useTwoTickets“ auf „true“ geändert.
The relevant expression is located approximately in the middle of the 48 Kbyte file. We also did change the value of „useTwoTickets“ to „true“.
Nach Abschluss der Änderungen und Abspeichern der Konfigurationsdatei muss der IIS Dienst neu gestartet werden, damit StoreFront die Konfigurationsänderungen übernimmt.
After completing the change, save the configuration file. Next, the IIS service must be restarted so that StoreFront applies the configuration changes.
Nun reicht NetScaler die Anfrage an StoreFront weiter und StoreFront präsentiert eine Anmeldemaske.
Now NetScaler forwards incoming requests to StoreFront and StoreFront presents a login screen to new users.
Nach Eingabe von Benutzerkennung und Passwort zeigt der Webbrowser auf Seite des Client die veröffentlichten Ressourcen an; genauer: zum Tab Desktops zeigt er die Liste der veröffentlichten Desktops an.
After entering your user ID and password, the client’s web browser displays the page containing the published resources, or, more precisely, displays the list of published desktops on the desktop.
Falls dem Benutzer lediglich ein Desktop veröffentlicht wurde, startet StoreFront jedoch sofort diesen Desktop, unabhängig von eventuell zusätzlich veröffentlichten Anwendungen. Dieser Sachverhalt kann in der Konfiguration von StoreWeb geändert werden.
If only one desktop has been published to the user, then StoreFront will immediately start this desktop, regardless of any additional published applications. This situation can be changed in the configuration of StoreWeb.
Das Attribut „autoLaunchDesktop“ zum Objekt „userInterface“ ist auf „false“ zu ändern.
Change the attribute „auto launch desktop“ for object „user interface“ to „false“.
Damit diese Änderung greift muss der Administrator abschließend erneut den IIS beenden und starten.
To apply this change the administrator must finally again stop and start the IIS.
Recent Comments