Hallo Technet´er,
ich scheitere schon seit ein paar Tagen an folgender Zielstellung:
Da das Citrix Webinterface keine Möglichkeit bietet nur einer bestimmten Nutzergruppe Zugriff auf den Dienst zu gewähren, haben wir in froher Erwartung das per Forefront Websiteveröffentlichung zu tun diesen Testweise installiert. So weit, so gut.
Kurz zur Erklärung was das Secure Gateway von Citrix tut: Das ist ein von Citrix im Umfang der XenApp Reihe angebotenes Tool was einen Proxy Dienst zwischen Citrix Farm und Internet schaltet. Somit kann ICA über TLS getunnelt werden und nach aussen hin ist
nur der 443 Port offen. Der Benutzer erhält eine HTML Seite an der er sich an Citrix anmelden muss. Im Vergleich die gleiche Funktion wie der Remotdesktop-Gateway von den Microsoft TS ab 2008.
So, nun haben wir eine Webveröffentlichungsregel erstellt (HTTPS) welche auf den internen Citrix Securegateway zielt, hier ist die Formularbasierte Authentifizierung aktiviert und die Weitergabe der Anmeldeinformationen an das Webinterface (Citrix Authentifizierung
muss von Explizit auf integriert geändert werden). Das funktioniert reibungslos. Es wird also Erst das Forefront Anmeldeformular angezeigt, hier loggt man sich ein und wird auf das Webinterface von Citrix weitergeleitet wo dann die Domainanmeldeinformationen
übergeben werden und ich dann direkt ohne erneuten Login zu meinen Anwendungen gelange. Jetzt kommt das Problem, über den PNAgent (Citrix Online Plugin) funktioniert es gar nicht, weil eine solche 2 Faktor Auth. nicht vorgesehen ist (nicht schlimm, soll nicht
verwendet werden). Da laut Richtlinie die User nur den Javaclient nutzen sollen wird dieser auch gestartet, hängt sich dann aber auf und fordert eine erneute Authentifizierung an (kein normales Verhalten). Loggt man sich da nochmal ein so hängt er wieder und
endet irgendwann im totalen Stillstand.
Da ich mir sicher bin das es nicht am Secure Gateway liegt (da es mit einer Serververöffentlichungsregel funktioniert, ich dort aber keine Usergruppe festlegen kann) muss es wohl irgendein Mechanismus im Forefront sein, dort ist aber auch alles was Proxy
oder NIS heisst deaktiviert. Die Zertifikate sind auch OK (also kein Fehler 500). Irgend eine Idee? Nicht kompatibel?
Es gibt Lösungen von Herrn Kötzing, welche ich allerdings nicht nutzen möchte da man da das Webinterface nicht mehr per Softwareupdate updaten darf.
Wer bis hierher gekommen ist, Vielen Dank!
