Access

CTX-Blog

powered by Ecki's Place

12. July, 2008

AAC Tuning, Teil 4

Die Optik eines AAC Logon Points ist leider nicht so leicht an die CI einer Firma anpassbar, wie die des Citrix Web Interfaces. Wie es trotz fehlender Assistenten geht, möchte ich in dem folgenden PDF zeigen.

Das HowTo steht, der besseren Lesbarkeit wegen, als PDF zum Download zur Verfügung. Es kann hier heruntergeladen werden: AAC4_5_CustomizeLogonPoint_Rev1.1_DE.pdf

Das PDF beschreibt in detaillierten und bebilderten Einzelschritten den Weg zu einem individuellen AAC LogonPoint. Dieser könnte dann z. B. so aussehen:
Angepasster LogonPoint - LoginAngepasster LogonPoint - Portal

Weitere lesenswerte Dokumentationen zur Anpassung eines AAC LogonPoints finden sich hier:

  • Basic Customization of the Advanced Access Control 4.x Logon Point
  • How to Customize the Default View for Web Interface 4.6 When it is Embedded in Access Gateway Advanced Edition
  • Und hier noch ein aktuell interessanter Artikel zu FireFox 3.0:

  • Access Interface Appears Incorrectly with Firefox 3.0
  • Gruss
    Ecki

    18. June, 2008

    IE Kiosk Mode

    Ich musste gerade bei einem Kunden dafür sorgen, dass der Internet Explorer ohne Navigationsleisten und sonstige Benutzerschnittstellen startet, um eine browserbasierte Applikation zum SmartCard Rollout zu veröffentlichen. Die Suche nach einer Lösung gestaltete sich hierbei schwieriger als erwartet.

    Der häufigste Ansatz, den Google bei einer entsprechenden Anfrage ausspuckte, war der eingebaute “Kiosk Mode” des Internet Explorers. Der Modus wird durch den Aufruf des IE mit dem Parameter -k aktiviert, s. http://support.microsoft.com/kb/154780. Dieser Modus versetzt den IE in den Vollbild Modus, blendet aber, im Gegensatz zum Tastendruck F11, die Symbolleisten komplett aus. Ein Beenden des IE ist dann nur noch über Alt. + F4 möglich und auch die sonstige Bedienung beschränkt sich ausschliesslich auf Tastenkürzel. Eine eher endkundenuntaugliche Variante 🙁

    Der nächste Ansatz waren Microsoft Group Policies, aber auch hier gab es zu viele Einschränkungen und Probleme. So lassen sich die Symbolleisten des IE nicht komplett per Policy ausblenden, sondern nur einzelne Icons, was wiederum Anpassungen in der Registry unter HKCU notwendig gemacht hätte, um die Symbolleisten komplett zu entfernen. Hier gehen die ansonsten ausufernden IE Policies eindeutig nicht weit genug 🙁

    Die Lösung kam in Form einen VBS Objekts. Der Internet Explorer lässt sich über VBS ansprechen und steuern. Dies gab mir die Möglichkeit, auch das Erscheinungsbild des Browsers soweit anzupassen, dass sämtliche Steuerelemente ausgeblendet werden können, ohne wichtige Funktionen zu beeinträchtigen. Mit dem folgenden Code lässt sich nun ein IE mit einer vordefinierten URL starten und ein Ausbruch aus dieser Umgebung ist deutlich erschwert 🙂

    DIM IE
    Set IE = CreateObject("InternetExplorer.Application")
    IE.Navigate "http://das.ist.die.anzuzeigende.url"
    IE.Visible=True
    IE.Toolbar=no
    IE.Menubar=no
    IE.Statusbar=no
    IE.Width=750
    IE.Height=600
    IE.Resizable=yes
    'IE.Top=5
    'IE.Left=5

    Auf den Eintrag IE.Navigate folgt hierbei die aufzurufende URL, wobei die gesamte URL in Anführungszeichen gesetzt sein muss. Optionale Parameter sind die Fenstergrösse (IE.Width/IE.Height) und die Position des Fensters auf dem Desktop (IE.Top/IE.Left).

    IE Kiosk Mode

    Das Script funktioniert sowohl unter Windows XP als auch 2003 Server problemlos. Unter Vista und 2008 Server sind Administrator Rechte notwendig, um den gewünschten Effekt zu erzielen!

    Gruss
    Ecki

    15. December, 2007

    AAC Tuning, Teil 3

    Two Factor Authentication mit RSA, SafeWord oder einer beliebigen RADIUS Lösung ist eine gängige Methode zur sicheren Authentifizierung an einem AAC Deployment. AAC beschriftet das Eingabefeld für das RSA/SafeWord/RADIUS One Time Passwort bei einem deutschen Client jedoch starr mit dem Text “SecurID-PASSCODE”, “SafeWord CODE:” oder generisch mit “RADIUS-Passwort”.

    Endbenutzer kennen ihre One Time Passwort Lösung jedoch meist unter einem anderem Namen, meist dem Namen des Herstellers. Dies kann dann zu Verwirrung und Problemen bei der Eingabe führen.

    Dieses Problem lässt sich für RSA und SafeWord recht einfach lösen. Eine Lösung für RADIUS ist weiter unten beschrieben. Wie schon im ersten und zweiten Beitrag zu dieser Reihe, befindet sich der Schlüssel in der Datei “web.config” im Root des jeweiligen LogonPoint Verzeichnisses.

    Auf einem Standard AAC Server vermutlich unter:

    C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

    Es existiert noch eine weitere Version dieser Datei unter “C:\Inetpub\wwwroot\CitrixLogonPoint\”, welche unberührt bleiben sollte !

    Diese Datei lässt sich mit einem Editor wie z. B. NotePad öffnen und bearbeiten. Im letzten Drittel findet sich der Abschnitt <appSettings>, in dem diverse Einstellungen vorgenommen werden können. Unter Anderem lässt sich hier auch die Anzeige für das Eingabefeld des One Time Passwords manipulieren, so dass ein beliebiger Text angezeigt werden kann. Dazu genügt es, folgende Zeilen im <appSettings> Block einzufügen:

    <add key=”SecondaryAuthenticationPromptOverride” value=”Password:” />
    und
    <add key=”SecondaryAuthenticationToolTipOverride” value=”Enter Password” />

    Wobei “Password:” für den anzuzeigenden Text steht und “Enter Password” den Text für den Tool Tip festlegt.

    Der Abschnitt sollte dann z. B. so aussehen:

    <appSettings>
    <add key="DebugConsoleTrace" value="False" />
    <add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
    <add key="AdvancedGatewayClientActivationDelay" value="10" />
    <add key="MaxConnectionsToAuthenticationService" value="20" />
    <add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
    <add key="DeployedBy" value="LACONFIG" />
    <add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
    <add key="SecondaryAuthenticationPromptOverride" value="SafeWord PIN + Zahlencode:" />
    <add key="SecondaryAuthenticationToolTipOverride" value="PIN und Zahlencode eingeben" />
    <!- -

    Nach dem Speichern der Datei und einem Refresh des LogonPoints sollte der neue Text erscheinen 🙂

    Dieses Vorgehen funktioniert leider nur bei RSA SecureID und SafeWord. Der Text, welcher bei einer RADIUS Lösung angezeigt wird, ist leider hart codiert und kann nicht so einfach geändert werden. Es gibt zwar bereits einen Feature Request bei Citrix, aber wann eine Lösung effektiv verfügbar sein wird, ist momentan noch nicht abzusehen.

    Joel Donaldson hat im Citrix AAC Forum jedoch auch für diesen Fall eine tolle Umgehungs- / Übergangslösung veröffentlicht. Eine einfache Manipulation der Datei BasePage.aspx aus dem jeweiligen LogonPoint Verzeichnis löst das Problem auf elegante Art und Weise.

    Es genügt, bei einem deutschen LogonPoint, folgenden Abschnitt vor dem </body> Tag einzufügen:

    <script type="text/javascript" language="JavaScript">
    document.body.innerHTML=document.body.innerHTML.replace("RADIUS-Kennwort:","Kobil Einmalpasswort:");
    </script>

    Das Ergbnis sieht dann so aus:
    Loginprompt nach der Manipulation

    Sollen auch englische LogonPoints unterstützt werden, hilft ein weiterer Code Block, der die englische Schreibweise berücksichtigt:

    <script type="text/javascript" language="JavaScript">
    document.body.innerHTML=document.body.innerHTML.replace("RADIUS Password:","Kobil OTP:");
    </script>

    Weitere Sprachen können so leicht hinzugefügt werden.

    Wer sich nun fragt, warum das funktioniert, dem kann evtl. diese Erklärung weiterhelfen. Der Script Code sucht im Text der ausgelieferten Webseite nach dem String “RADIUS-Kennwort:” und ersetzt ihn dann durch den zweiten Parameter der Funktion “document.body.innerHTML.replace”, also in unserem Beispiel durch “Kobil Einmalpasswort:”.

    Achtung, dies funktioniert nur, solange JavaScript im Browser aktiviert und erlaubt ist. Ist JavaScript abgeschaltet, erscheint wieder der ursprüngliche Text “RADIUS-Kennwort:”! Weitere Nebenwirkungen sind bei dieser Anpassung nicht zu befürchten.

    < < AAC Tuning, Teil 2

    !!! Bitte beachtet den ersten Kommentar zu diesem Beitrag !!!

    Gruss
    Ecki

    02. May, 2007

    Secure Access Client Kommandozeilen Parameter

    Wenig bekannt ist die Tatsache, dass der Secure Access Client (4.2 und später, einschliesslich net6vpn.exe) über einige interessante Kommandozeilen Parameter verfügt. Daher will ich diese hier kurz vorstellen. Der interessanteste Einsatzzweck sind sicher automatisierte Installationen via Softwareverteilung, oder einfachem Batch Script.

    Achtung: Bei diesen Parameter ist die GROSS/klein-schreibung wichtig!

    Folgende Parameter stehen zur Verfügung:

    • -C zeigt das Konfigurations Interface (GUI) an
      Beispiel: “CitrixSAClient.exe –C”
    • -H verbindet auf die angegebene Serveradresse und Port (Syntax: -H SERVER_IP:PORT)
      Beispiel: “CitrixSAClient.exe –H 192.168.1.1:443”
    • -p zwingt den Client, den angegebenen Proxy zu verwenden (Syntax: -p PROXY_IP:PORT)
      Beispiel: “CitrixSAClient.exe –p 192.168.1.1:8080”
    • -i Installiert den Client, wird meist mit anderen Parametern verwendet
      Beispiel: “CitrixSAClient.exe –i”
    • -D konfiguriert die URL für das Desktop Icon für Advanced Access Control (Syntax: -D AG_AAC_URL)
      Beispiel: “CitrixSAClient.exe -D https://cag.company.com”
    • -Q Quiet Mode, unterdrückt alle Meldungen. Dieser Parameter kann nur in Verbindung mit -i (Install), oder -U (Uninstall) verwendet werden. Er muss vor allen anderen Parametern stehen
      Beispiel: “CitrixSAClient.exe –Q”
    • -U Deinstalliert den Client und Treiber
      Beispiel: “CitrixSAClient.exe –U”
    • -v zeigt Versionsinformationen zum Client
      Beispiel: “CitrixSAClient.exe –v”

    Ein Beispiel für eine Silent Installation in Verbindung mit AAC sähe so aus:
    CitrixSAClient.exe –Q –D https://AG_AAC_URL –i

    Eine Installation für ein Access Gateway Standard sähe so aus:
    CitrixSAClient.exe –Q –H [AG_SYSTEM_FQDN]:[AG_SYSTEM_PORT] –i

    Gefunden unter CTX108757.

    Gruss
    Ecki

    |