Access

CTX-Blog

powered by Ecki's Place

08. March, 2013

IE 10 + Access Gateway Enterprise Logon Screen Problem

Wer bereits den neuen IE 10 einsetzt, ist vermutlich auch schon über dieses Phänomen mit einem Access Gateway Enterprise gestolpert. Der Bildschirm bleibt leer, wenn man die URL des AGEE eingibt. Erst wenn man manuell in den Kompatabilitätsmodus des Browsers wechselt, werden die Login Felder angezeigt. Ein ähnliches Problem hatte ich bereits vor einigen Jahren beschrieben, s. AAC und IE 8.0

Die Lösung ist ähnlich, allerdings unterscheiden sich die Dateien.

Beim Access Gateway Enterprise muss in der Datei “/netscaler/ns_gui/vpn/index.html” folgende Zeile (rot/fett) im Header hinzugefügt werden:

<HTML><HEAD><TITLE>Citrix Access Gateway</TITLE>
<link rel="SHORTCUT ICON" href="/vpn/images/AccessGateway.ico" type="image/vnd.microsoft.icon">
<META http-equiv="X-UA-Compatible" content="IE=EmulateIE9" />
<META http-equiv="Content-Type" content="text/html; charset=UTF-8">
<META content=noindex,nofollow,noarchive name=robots>
<LINK href="/vpn/images/caxtonstyle.css" type=text/css rel=STYLESHEET>
<script type="text/javascript" src="/vpn/resources.js"></script>
<script type="text/javascript" language="javascript">
var Resources = new ResourceManager("resources/{lang}", "logon");
</script>

Wenn das Ergebnis stimmt (! Browser schliessen und neu öffnen !), darf nicht vergessen werden, dass das Access Gateway Enterprise diese Modifikation bei einem Reboot “vergisst”! Wie man solche Anpassungen persistent macht, beschreibt z. B. How to Retain the Custom Settings made to the NetScaler Appliance after it is Restarted

Gruss
Ecki

24. March, 2009

AAC und IE 8.0

Vor wenigen Tagen wurde der IE 8.0 offiziell zum Download freigegeben. Da er demnächst auch als Windows Update verfügbar sein wird, werden schnell viele User mit diesem Browser auf bestehende AAC Deployments zugreifen wollen. Dies gestaltet sich in der Defaulteinstellung jedoch leider als problematisch. So sieht eine AAC Portalseite mit dem IE 8.0 aus:

Portal
OWA

Das Layout ist in der Höhe gestaucht, es fehlen daher viele Links und OWA ist praktisch nicht bedienbar 🙁

Eine kleine Anpassung der Datei C:\Inetpub\wwwroot\CitrixSessionInit\NUI.aspx löst die Darstellungsprobleme, indem es den IE 8.0 in den IE 7.0 Kompatibilitätsmodus zwingt.

Es genügt, im Header der Datei NUI.aspx folgende Zeile hinzuzufügen:

<meta http-equiv=”X-UA-Compatible” content=”IE=EmulateIE7″ />

Das könnte dann z. B. so aussehen:

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Citrix Access Gateway</title>
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
<meta name="GENERATOR" content="Microsoft Visual Studio .NET 7.1" />
<meta name="CODE_LANGUAGE" content="C#" />
<meta name="vs_defaultClientScript" content="JavaScript" />
<meta name="vs_targetSchema" content="http://schemas.microsoft.com/intellisense/ie5" />
<link rel="SHORTCUT ICON" href="themes/default/images/favicon.ico" type="image/vnd.microsoft.icon" />
<base id="baseElement" href="" runat="server" />
<link id="cssElement" rel="stylesheet" href="" runat="server" />
<!--[if IE]>
<style type="text/css">

Und schon erscheint das Portal wieder in voller Pracht 🙂

Portal
OWA

Diese Anpassung stellt keine finale Lösung dar, sollte aber genügen, bis Citrix irgendwann einen Fix bereitstellt…

Gruss
Ecki

29. July, 2008

Update – AAC Tuning, Teil 4

Das Dokument wurde ein wenig erweitert, nachdem ein Kunde einen sehr dunklen Blauton für den farbigen Querbalken verwenden wollte. Die Beschriftung des Balkens war daraufhin nicht mehr lesbar. Daher musste die Schriftfarbe innerhalb des Balkens auf Weiss gesetzt werden, um wieder für den nötigen Kontrast zu sorgen. Wie das geht wurde nun dem Dokument hinzugefügt.

Das HowTo steht wieder, der besseren Lesbarkeit wegen, als PDF zum Download zur Verfügung. Es kann hier heruntergeladen werden: AAC4_5_CustomizeLogonPoint_Rev1.1_DE.pdf

Gruss
Ecki

12. July, 2008

AAC Tuning, Teil 4

Die Optik eines AAC Logon Points ist leider nicht so leicht an die CI einer Firma anpassbar, wie die des Citrix Web Interfaces. Wie es trotz fehlender Assistenten geht, möchte ich in dem folgenden PDF zeigen.

Das HowTo steht, der besseren Lesbarkeit wegen, als PDF zum Download zur Verfügung. Es kann hier heruntergeladen werden: AAC4_5_CustomizeLogonPoint_Rev1.1_DE.pdf

Das PDF beschreibt in detaillierten und bebilderten Einzelschritten den Weg zu einem individuellen AAC LogonPoint. Dieser könnte dann z. B. so aussehen:
Angepasster LogonPoint - LoginAngepasster LogonPoint - Portal

Weitere lesenswerte Dokumentationen zur Anpassung eines AAC LogonPoints finden sich hier:

  • Basic Customization of the Advanced Access Control 4.x Logon Point
  • How to Customize the Default View for Web Interface 4.6 When it is Embedded in Access Gateway Advanced Edition
  • Und hier noch ein aktuell interessanter Artikel zu FireFox 3.0:

  • Access Interface Appears Incorrectly with Firefox 3.0
  • Gruss
    Ecki

    15. May, 2008

    CAG HotFix 4.5.7 Rev. A verfügbar

    Seit wenigen Tagen steht eine aktualisierte Version des Hotfixes AG2000_v457 bei Citrix zum Download bereit. Diese Aktualisierung beseitigt eine Sicherheitslücke in der Access Gateway Implementierung der 4.5er Reihe. Es stehen Fixes für CAG 4.5.5, 4.5.6 und 4.5.7 zur Verfügung.

    Vor allem Nutzer der SSL VPN Komponente des Access Gateways sollten den Fix schnellstmöglich einspielen.

    Der Download und das ReadMe für das CAG 4.5.7 Rev. A sind hier zu finden: CTX117123, Hotfix AG2000_v457 Rev. A

    Gruss
    Ecki

    07. May, 2008

    AAC HotFix AAC450W003 und CAG HotFix 4.5.7 verfügbar

    Seit wenigen Tagen stehen die Hotfixes AAC450W003 und Hotfix AG2000_v457 bei Citrix zum Download bereit. Neben einigen kleineren Bugfixes gibt es in diesen Releases weitere wirklich interessante Neuerungen:

    Durch den AAC HotFix wird mein letzter Beitragt “AAC Tuning, Teil 3” teilweise entwertet. Genauer gesagt ist durch die Intervention, welche ich für einen Kunden durchgeführt habe, nun eine einfache Möglichkeit entstanden, den Beschreibungstext für das RADIUS-Eingabefeld nicht nur bei einem RSA, bzw. SafeWord Deployment einfach zu wechseln, sondern neu auch bei einer beliebigen RADIUS Implementation. Das Vorgehen aus dem ersten Abschnitt des Beitrags “AAC Tuning, Teil 3” behält daher seinen Gültigkeit, gilt aber nach der Installation des HotFixes AAC450W003 auch für alle RADIUS Lösungen.

    Vista wird nun endlich, wenn auch nur im Beta Stadium, von AAC 4.5 unterstützt. Das heisst, es lassen sich nun auch Vista Clients via EPA-Scan überprüfen und klassifizieren. Erste Tests verliefen bereits positiv. ACHTUNG: Wenn EPA-Scans von EPAFactory/Accario eingesetzt werden, darf dieser Hotfix noch nicht eingespielt werden. Accario plant die Unterstützung von AAC 4.5 HF03 für voraussichtlich den 20. Mai.

    Die Liste der unterstützten Virenscanner und Personal Firewalls wurde ergänzt. So sind nun endlich u. a. auch McAfee 8.5i, Symantec AVE 10.0, Symantec Endpoint Protection 11.0 und Trend Micro 8.0 offiziell von Citrix unterstützt.

    Der Download und das ReadMe für AAC 4.5 sind hier zu finden: CTX117123, AAC45W003

    Der Download und das ReadMe für das CAG 4.5.7 sind hier zu finden: CTX117123, Hotfix AG2000_v457

    Gruss
    Ecki

    15. December, 2007

    AAC Tuning, Teil 3

    Two Factor Authentication mit RSA, SafeWord oder einer beliebigen RADIUS Lösung ist eine gängige Methode zur sicheren Authentifizierung an einem AAC Deployment. AAC beschriftet das Eingabefeld für das RSA/SafeWord/RADIUS One Time Passwort bei einem deutschen Client jedoch starr mit dem Text “SecurID-PASSCODE”, “SafeWord CODE:” oder generisch mit “RADIUS-Passwort”.

    Endbenutzer kennen ihre One Time Passwort Lösung jedoch meist unter einem anderem Namen, meist dem Namen des Herstellers. Dies kann dann zu Verwirrung und Problemen bei der Eingabe führen.

    Dieses Problem lässt sich für RSA und SafeWord recht einfach lösen. Eine Lösung für RADIUS ist weiter unten beschrieben. Wie schon im ersten und zweiten Beitrag zu dieser Reihe, befindet sich der Schlüssel in der Datei “web.config” im Root des jeweiligen LogonPoint Verzeichnisses.

    Auf einem Standard AAC Server vermutlich unter:

    C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

    Es existiert noch eine weitere Version dieser Datei unter “C:\Inetpub\wwwroot\CitrixLogonPoint\”, welche unberührt bleiben sollte !

    Diese Datei lässt sich mit einem Editor wie z. B. NotePad öffnen und bearbeiten. Im letzten Drittel findet sich der Abschnitt <appSettings>, in dem diverse Einstellungen vorgenommen werden können. Unter Anderem lässt sich hier auch die Anzeige für das Eingabefeld des One Time Passwords manipulieren, so dass ein beliebiger Text angezeigt werden kann. Dazu genügt es, folgende Zeilen im <appSettings> Block einzufügen:

    <add key=”SecondaryAuthenticationPromptOverride” value=”Password:” />
    und
    <add key=”SecondaryAuthenticationToolTipOverride” value=”Enter Password” />

    Wobei “Password:” für den anzuzeigenden Text steht und “Enter Password” den Text für den Tool Tip festlegt.

    Der Abschnitt sollte dann z. B. so aussehen:

    <appSettings>
    <add key="DebugConsoleTrace" value="False" />
    <add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
    <add key="AdvancedGatewayClientActivationDelay" value="10" />
    <add key="MaxConnectionsToAuthenticationService" value="20" />
    <add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
    <add key="DeployedBy" value="LACONFIG" />
    <add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
    <add key="SecondaryAuthenticationPromptOverride" value="SafeWord PIN + Zahlencode:" />
    <add key="SecondaryAuthenticationToolTipOverride" value="PIN und Zahlencode eingeben" />
    <!- -

    Nach dem Speichern der Datei und einem Refresh des LogonPoints sollte der neue Text erscheinen 🙂

    Dieses Vorgehen funktioniert leider nur bei RSA SecureID und SafeWord. Der Text, welcher bei einer RADIUS Lösung angezeigt wird, ist leider hart codiert und kann nicht so einfach geändert werden. Es gibt zwar bereits einen Feature Request bei Citrix, aber wann eine Lösung effektiv verfügbar sein wird, ist momentan noch nicht abzusehen.

    Joel Donaldson hat im Citrix AAC Forum jedoch auch für diesen Fall eine tolle Umgehungs- / Übergangslösung veröffentlicht. Eine einfache Manipulation der Datei BasePage.aspx aus dem jeweiligen LogonPoint Verzeichnis löst das Problem auf elegante Art und Weise.

    Es genügt, bei einem deutschen LogonPoint, folgenden Abschnitt vor dem </body> Tag einzufügen:

    <script type="text/javascript" language="JavaScript">
    document.body.innerHTML=document.body.innerHTML.replace("RADIUS-Kennwort:","Kobil Einmalpasswort:");
    </script>

    Das Ergbnis sieht dann so aus:
    Loginprompt nach der Manipulation

    Sollen auch englische LogonPoints unterstützt werden, hilft ein weiterer Code Block, der die englische Schreibweise berücksichtigt:

    <script type="text/javascript" language="JavaScript">
    document.body.innerHTML=document.body.innerHTML.replace("RADIUS Password:","Kobil OTP:");
    </script>

    Weitere Sprachen können so leicht hinzugefügt werden.

    Wer sich nun fragt, warum das funktioniert, dem kann evtl. diese Erklärung weiterhelfen. Der Script Code sucht im Text der ausgelieferten Webseite nach dem String “RADIUS-Kennwort:” und ersetzt ihn dann durch den zweiten Parameter der Funktion “document.body.innerHTML.replace”, also in unserem Beispiel durch “Kobil Einmalpasswort:”.

    Achtung, dies funktioniert nur, solange JavaScript im Browser aktiviert und erlaubt ist. Ist JavaScript abgeschaltet, erscheint wieder der ursprüngliche Text “RADIUS-Kennwort:”! Weitere Nebenwirkungen sind bei dieser Anpassung nicht zu befürchten.

    < < AAC Tuning, Teil 2

    !!! Bitte beachtet den ersten Kommentar zu diesem Beitrag !!!

    Gruss
    Ecki

    15. November, 2007

    Access Gateway HotFix 4.5.6

    Ab sofort steht bei Citrix das Update 4.5.6 für das Access Gateway Standard zum Download zur Verfügung, welches wiederum einige unschöne Fehler ausbügelt. Bei älteren Versionen konnte es vorkommen, dass die Anzahl Sessions im “Real Time Monitor” und in der Statistik Anzeige nicht überein stimmten. Ausserdem sollte sich der SAC Client nun noch verlässlicher beenden, wenn sich ein User in einem AAC Deployment am Web Interface ausloggt.

    Wenn das Access Gateway in einem AAC Deployment mit HotFix AAC450W001 betrieben wird, werden die User bei jedem Verbindungsaufbau gefragt, ob sie das ActiveX Control installieren wollen. Ursache ist folgender Abschnitt in der Datei “web.config”:

    <add key="SACCodebase" value="net6helper.cab#version=4,5,0,122" />
    </appSettings/>
    </configuration/>

    Die Versionsnummer muss bei der Version 4.5.6 auf den Wert 4,5,6,111 angepasst werden, damit die korrekte Versions- und Build-Nummer des SAC abgefragt wird.

    Weitere Infos zu den Verbesserungen und der Download sind hier zu finden.

    Gruss
    Ecki

    17. September, 2007

    Access Gateway HotFix 4.5.5 Rev. B

    Nach den Sommerferien und einigen sehr arbeitsreichen Wochen, geht es hier nun endlich wieder weiter 🙂

    Ab sofort steht bei Citrix eine Revision des Access Gateway Updates 4.5.5 zum Download zur Verfügung, welches einige unschöne Fehler ausbügelt. Nach dem Update auf 4.5.5 konnte es vorkommen, das das CAG Standard alle 10 bis 20 Minuten einfrohr, bzw. mehrmals pro Tag crashte, was einen Reboot nach sich zog. “Ursache” war die Konfiguration von mehr als einer STA auf dem CAG Standard. Nach dem Update auf Rev. B sollte dieser Bug behoben sein.

    Weitere Fixes beinhalten Verbesserungen beim SAClient Rollout und EPA Scan Download. Auch soll sich der VPN Client nach dem Ausloggen am AAC Server nun verlässlicher beenden.

    Weitere Infos zu den Verbesserungen und der Download sind hier zu finden.

    Gruss
    Ecki

    21. July, 2007

    AAC 4.5 Update verfügbar

    20. Juli: Seit Gestern steht bei Citrix nun auch das Update AAC450W001 für Access Gateway Advanced 4.5 zur Verfügung. Neben einer ganzen Reihe von Fehlerbehebungen sind auch einige neue Features und Konfigurationsoptionen dazu gekommen:

    • WANScaler Integration (Protokoll und TCP Optimierung über den SSL VPN Client)
    • Support für Web-enabled Mobile Devices

    Da mit diesem Update auch einige Sicherheitprobleme entschärft worden sind, sollte mit dem Update nicht allzulange gewartet werden.

    Der Download und weitere Informationen sind hier zu finden.

    Gruss
    Ecki