Access

CTX-Blog

powered by Ecki's Place

07. May, 2008

AAC HotFix AAC450W003 und CAG HotFix 4.5.7 verfügbar

Seit wenigen Tagen stehen die Hotfixes AAC450W003 und Hotfix AG2000_v457 bei Citrix zum Download bereit. Neben einigen kleineren Bugfixes gibt es in diesen Releases weitere wirklich interessante Neuerungen:

Durch den AAC HotFix wird mein letzter Beitragt “AAC Tuning, Teil 3” teilweise entwertet. Genauer gesagt ist durch die Intervention, welche ich für einen Kunden durchgeführt habe, nun eine einfache Möglichkeit entstanden, den Beschreibungstext für das RADIUS-Eingabefeld nicht nur bei einem RSA, bzw. SafeWord Deployment einfach zu wechseln, sondern neu auch bei einer beliebigen RADIUS Implementation. Das Vorgehen aus dem ersten Abschnitt des Beitrags “AAC Tuning, Teil 3” behält daher seinen Gültigkeit, gilt aber nach der Installation des HotFixes AAC450W003 auch für alle RADIUS Lösungen.

Vista wird nun endlich, wenn auch nur im Beta Stadium, von AAC 4.5 unterstützt. Das heisst, es lassen sich nun auch Vista Clients via EPA-Scan überprüfen und klassifizieren. Erste Tests verliefen bereits positiv. ACHTUNG: Wenn EPA-Scans von EPAFactory/Accario eingesetzt werden, darf dieser Hotfix noch nicht eingespielt werden. Accario plant die Unterstützung von AAC 4.5 HF03 für voraussichtlich den 20. Mai.

Die Liste der unterstützten Virenscanner und Personal Firewalls wurde ergänzt. So sind nun endlich u. a. auch McAfee 8.5i, Symantec AVE 10.0, Symantec Endpoint Protection 11.0 und Trend Micro 8.0 offiziell von Citrix unterstützt.

Der Download und das ReadMe für AAC 4.5 sind hier zu finden: CTX117123, AAC45W003

Der Download und das ReadMe für das CAG 4.5.7 sind hier zu finden: CTX117123, Hotfix AG2000_v457

Gruss
Ecki

23. May, 2007

AAC Tuning, Teil 1

Welcher AAC Admin hat nicht schon einmal über das Verhalten des EPA-Scans geflucht. Sobald auch nur ein EPA-Scan in der AMC (Access Management Console) definiert ist, wird der EPA-Scan bei jedem LogonPoint automatisch gestartet, egal, ob er gebraucht wird, oder nicht.

Sehr lästig ist dieses Verhalten z. B. bei einem reinen OWA (Outlook Web Access) LogonPoint, der nichts anderes, als einen eingeschränkten Zugriff auf das persönliche Mailkonto bereitstellen soll. Damit er von Überall her funktioniert und auch “Clientless” arbeitet, darf er natürlich keinen EPA-Scan voraussetzen. Trotzdem erscheint bei jedem Aufruf dieses LogonPoints der Download- und Installationshinweis für den EPA-Scan-Client. Ein beherzter Klick auf “Skip Scan” bringt einen zwar weiter, ohne den Client installieren zu müssen, der Download findet aber trotzdem jedes Mal im Hintergrund statt, sehr hinderlich, bei langsamen Internetverbindungen. Dazu kommt die Verunsicherung weniger computeraffiner Zeitgenossen, die u. U. endlos versuchen, auf eingeschränkten InternetCafe PC’s den EPA-Scan-Client zu installieren, was ihnen mangels Rechten nie gelingen wird…

Per Zufall bin ich kürzlich über eine Option gestolpert, die dieses Verhalten ändern kann. Gut versteckt und kaum dokumentiert, werden sie wohl bisher nur Wenige entdeckt haben. Der Schlüssel befindet sich in der Datei “web.config” im Root des jeweiligen LogonPoint Verzeichnisses.

Auf einem Standard AAC Server vermutlich unter:

C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

Es existiert noch eine weitere Version dieser Datei unter “C:\Inetpub\wwwroot\CitrixLogonPoint\”, welche unberührt bleiben sollte !

Diese Datei lässt sich mit einem Editor wie z. B. NotePad öffnen und bearbeiten. Im letzten Drittel findet sich der Abschnitt <appSettings>, in dem diverse Einstellungen vorgenommen werden können. Unter Anderem lässt sich hier auch der EPA-Scan deaktivieren. Dazu genügt es, folgende Zeile unter dem <appSettings> Block einzufügen:

<add key=”EndpointAnalysisDisabled” value=“true” />

Der Abschnitt sollte dann so aussehen:

<appSettings>
<add key="DebugConsoleTrace" value="False" />
<add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
<add key="AdvancedGatewayClientActivationDelay" value="10" />
<add key="MaxConnectionsToAuthenticationService" value="20" />
<add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
<add key="DeployedBy" value="LACONFIG" />
<add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
<add key="SecondaryAuthenticationIsOptional" value="false" />
<add key="EndpointAnalysisDisabled" value="True" />
<!- -

Nach dem Speichern der Datei gelangt der User bei diesem einen LogonPoint nun direkt zur Eingabemaske für seinen Usernamen und sein Passwort, ohne Umweg über die EPA-Scan Zwischenseite 🙂

AAC Tuning, Teil 2 >>

!!! Bitte beachtet den ersten Kommentar zu diesem Beitrag !!!

Gruss
Ecki

14. March, 2007

Registry Scan (Watermark) mit CAG 4.5.x Advanced

Wer das Citrix Access Gateway (CAG) mit Advanced Access Control (AAC) schon eine Weile kennt, speziell die Version 4.2, kennt sicher auch den “Citrix Watermark” End Point Analysis Scan (EPA Scan). Eine Möglichkeit, über einen Registry Key die Zugehörigkeit zu einer bestimmten Sicherheitsgruppe zu definieren. Im Gegensatz zu MAC oder Domain Filtern war dieser Scan eine einfache Möglichkeit, schnell den Sicherheitskontext zu wechseln, um z. B. bei Produktdemonstrationen unterschiedliche Zugriffsszenarien vorführen zu können.

Das Update auf die AAC Version 4.2.5, bzw. auf die Version 4.5 brachte hier massive Änderungen im Bereich EPA Scans mit sich. Als einschneidendste Änderung kann die Verpflichtung zum Signieren aller EPA Scans gelten. Neu sind alle EPA Scans von Citrix bereits signiert. Selbst erstellt EPA Scans funktionieren nun ebenfalls nur noch, wenn sie signiert und damit als vertrauenswürdig gekennzeichnet sind. Diesen Aufwand und die damit verbundenen Kosten scheuen viele Kunden. Für Citrix Partner, die nur eine Demo Site aufbauen wollen, lohnt sich der Aufwand in der Regel ebenfalls nicht. Wer daher kein Geld in Custom Scans z. B. von EPAFactory stecken wollte, musste sich zwangsläufig mit den mitgelieferten EPA Scans arrangieren:-(

Hier möchte ich daher einen Weg aufzeigen, wie mit den vorhandenen Möglichkeiten trotzdem ein funktionierender Registry Scan zu erstellen ist. Die meisten EPA Scans machen tatsächlich nichts anderes, als in der Registry des Clients an vorkonfigurierten Stellen vorhandene Werte auszulesen. Daher kann prinzipiell fast jeder EPA Scan als Registry Scan verwendet werden. Als Beispiel verwende ich hier den mitgelieferten “Citrix Scans for Windows Update”. Dieser Scan liest auf dem Clientrechner rekursiv alle Keys unterhalb von:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\

aus und liefert die darin gefundenen KB-Nummern zurück. Zu beachten ist hier, dass Keys direkt unter dem o. g. Key NICHT zurückgeliefert werden. Man sollte sich daher einen vorhandenen Unterordner auswählen um den Key dort zu erstellen. Mit diesem Wissen lässt sich nun recht einfach ein Registry Scan erstellen. Wem diese Kurzanleitung nicht genügt, findet hier eine detaillierte Beschreibung mit Screenshots.

Gruss
Ecki

|