CTX-Blog

Nach den Sommerferien und einigen sehr arbeitsreichen Wochen, geht es hier nun endlich wieder weiter 🙂

Ab sofort steht bei Citrix eine Revision des Access Gateway Updates 4.5.5 zum Download zur Verfügung, welches einige unschöne Fehler ausbügelt. Nach dem Update auf 4.5.5 konnte es vorkommen, das das CAG Standard alle 10 bis 20 Minuten einfrohr, bzw. mehrmals pro Tag crashte, was einen Reboot nach sich zog. “Ursache” war die Konfiguration von mehr als einer STA auf dem CAG Standard. Nach dem Update auf Rev. B sollte dieser Bug behoben sein.

Weitere Fixes beinhalten Verbesserungen beim SAClient Rollout und EPA Scan Download. Auch soll sich der VPN Client nach dem Ausloggen am AAC Server nun verlässlicher beenden.

Weitere Infos zu den Verbesserungen und der Download sind hier zu finden.

Gruss
Ecki

After the summer holidays and several very busy weeks, i have found the time again to carry on with these pages 🙂

Citrix released Revision B of the Access Gateway HotFix 4.5.5 today, which eliminates a couple of bugs. After the update to version 4.5.5 some CAG Standard installations experienced a freeze every 10 to 20 minutes or even worse 2 to 3 crashes/reboots a day. The “reason” for this behavior was the configuration of more than one STA on the CAG Standard. After the update to Rev. B this bug should be eliminated.

Additional fixes for the SAC roll out and the EPA download are included. Furthermore the SAC should close now more reliably in AAC deployments. The full list of fixes and the download can be found here.

Regards
Ecki

Seit Gestern steht bei Citrix das neue Web Interface 4.6 zum Download bereit. Diese Version ist Voraussetzung für einige neue Features und Verbesserungen, die mit dem Rollup Pack 01 für Presentation Server 4.5 eingeführt wurden.

Vor der Installation des Web Interfaces 4.6 muss zwingend die AMC (Access Management Console für Presentation Server 4.5) aktualisiert werden, da das Update sonst fehl schlägt. Die aktuelle AMC kann hier heruntergeladen werden.

Der Download des Web Interface 4.6 und weitere Informationen sind hier zu finden.

Gruss
Ecki

Yesterday Citrix released the new Web Interface 4.6 for Windows. This version is mandatory for several new features and enhancements introduced with the Rollup Pack 01 for Presentation Server 4.5.

Before installing Web Interface 4.6 you have to update your AMC (Access Management Console for Presentation Server 4.5) first. The new console snap-ins must be present before the new features can be installed successfully. The new AMC can be downloded here.

The download of Web Interface 4.6 and aditional informations can be found here.

Regards
Ecki

Seit dem 19.07. steht bei Citrix das erste Hotfix Rollup Pack für Presentation Server 4.5 zur Verfügung. Neben einer ganzen Reihe von Fehlerbehebungen wurde vor allem die Office 2007 Integration verbessert. Weitere Neuigkeiten sind:

• Microsoft Windows Vista/Office 2007 Compatibility Updates
• Verbesserte Unterstützung für High Color (16-, 32-, and 48-bit) Icons
• Microsoft Office Live Preview Support

Einige der Verbesserungen setzen mindestens den aktuellen Client 10.100 voraus. Ein Update der Client Installation ist daher ebenfalls anzuraten.

Der Download und weitere Informationen sind hier zu finden.

Gruss
Ecki

On July 19th Citrix released the first Hotfix Rollup Pack for Citrix Presentation Server 4.5. This update comprises a couple of new features and options. Beside others, the main improvements are IMHO the following issues:

• Microsoft Windows Vista/Office 2007 Compatibility Updates
• Enhanced (16-, 32-, and 48-bit) Icon Support
• Microsoft Office Live Preview Support

To get the fulll benefit of these compatibilityupdates, you must also deploy Version 10.100 or later of the Presentation ServerClient.

The download and aditional informations can be found here.

Regards
Ecki

20. Juli: Seit Gestern steht bei Citrix nun auch das Update AAC450W001 für Access Gateway Advanced 4.5 zur Verfügung. Neben einer ganzen Reihe von Fehlerbehebungen sind auch einige neue Features und Konfigurationsoptionen dazu gekommen:

• WANScaler Integration (Protokoll und TCP Optimierung über den SSL VPN Client)
• Support für Web-enabled Mobile Devices

Da mit diesem Update auch einige Sicherheitprobleme entschärft worden sind, sollte mit dem Update nicht allzulange gewartet werden.

Der Download und weitere Informationen sind hier zu finden.

Gruss
Ecki

July 20.: Citrix yesterday released the Hotfix AAC450W001 for Citrix Access Gateway Advanced. This update comprises a couple of new features and options. Beside others, the main improvements are IMHO the following issues:

• WANScaler integration (protocol and TCP optimizations through the SSL VPN client)
• Support for Web-enabled Mobile Devices

Since a couple of security updates are comprised in this Package, administrators shouldn’t wait with installing this update.

The download and aditional informations can be found here.

Regards
Ecki

18. Juli: Seit Heute steht bei Citrix das Update 4.5.5 für alle Access Gateway 2000/2010 Modelle zur Verfügung. Neben einer ganzen Reihe von Fehlerbehebungen sind auch einige neue Features und Konfigurationsoptionen dazu gekommen:

• Caching von One Time Passwörtern kann nun explizit verboten werden
• WANScaler Integration (Protokoll und TCP Optimierung über den SSL VPN Client)
• Vista Client Support

Um nur die Wichtigsten zu nennen.

Da mit diesem Update auch einige Sicherheitprobleme entschärft worden sind, sollte mit dem Update nicht allzulange gewartet werden.

Der Download und weitere Informationen sind hier zu finden.

Gruss
Ecki

July 18.: Citrix released a Hotfix for Citrix Access Gateway. This hotfix is applicable to the Model 2000 and the Model 2010 appliance that supports the Access Gateway Standard Edition, Version 4.5 and Access Gateway Advanced Edition, Version 4.5. This update comprises a couple of new features and options. Beside others, the main improvements are IMHO the following issues:

• Caching of one time passwords can now be disabled
• WANScaler integration (protocol and TCP optimizations through the SSL VPN client)
• Vista client support

Since a couple of security updates are comprised in this Package, administrators shouldn’t wait with installing this update.

The download and aditional informations can be found here.

Regards
Ecki

Bei Brian Madden bin ich auf ein sehr interessantes Dokument zum Thema Terminal Server Tuning gestossen. In diesem Artikel werden sämtliche relevanten LANMANServer und LANMANWorkstation Parameter und Registry Keys vorgestellt und erkärt, die in diesem Zusammenhang von Bedeutung sind.

Anschliessend werden mögliche Optimierungsmassnamen und deren Risiken besprochen und sogar ein ADM Template zur Verfügung gestellt, mit dem sich die besprochenen Optimierungen via GPO umsetzen lassen.

Der vollständige Artikel kann hier nachgelesen werden.

Gruss
Ecki

I recently stumbled across this realy good article about terminal server tuning. This article introduces and explains all the relevant LANMANServer and LANMANWorkstation parameters and registry keys.

Following that, the article discusses the potential optimizing actions and their risks and provides even an ADM template that allows to tune your environment through GPOs.

The complete article can be found here.

Regards
Ecki

Best Practice im Citrix Umfeld ist es, Usern, die auf einen Presentation Server zugreifen dürfen, den Zugriff via RDP-Protokoll zu verweigern, da hier u. A. die Citrix Policies nicht ziehen. Das standardmässig von Microsoft vorgeschlagene Vorgehen, den Zugriff auf die Terminalserver durch die lokale Gruppe “Remote Desktop Users” zu steuern funktioniert dann allerdings nicht mehr. Es muss statt dessen eine eigene Gruppe erstellt und gepflegt werden, die den Zugriff über das ICA Protokoll steuern kann. Ich nenne diese Gruppe in unserem Beispiel “CTX_User”. Damit Mitglieder dieser Gruppe auf einen Presentation Server zugreifen können, müssen zwei Bedingungen erfüllt sein.

1. Berechtigung auf dem ICA Protokoll

2. Das Recht “Log on through terminal services”, etweder lokal, oder besser verteilt via GPO

Dies gilt für Windows Server 2003. Bei Windows Server 2000 wird das Recht “Log on localy” benötigt. Dabei ist zu beachten, dass bei Aktivierung dieser Policy alle Gruppen referenziert werden müssen, die später in irgendeiner Form via Terminal Services auf den Server verbinden dürfen. Fehlt ein User, oder eine Gruppe in dieser Auflistung, erscheint sonst bei einem Anmeldeversuch folgende Fehlermeldung:

Ein weiterer Tipp an dieser Stelle: Idealerweise verbietet man das Ressource Mapping auf dem RDP Protokoll zumindest für Drucker so früh wie möglich, um das Einschleppen von Druckertreibern zu verhindern. Da normalerweise nur Administratoren via RDP verbinden, die über genügend Rechte zum Installieren von Treibern verfügen, werden sonst alle lokalen Drucker auf dem Terminalserver installiert, was schnell zu einem Wildwuchs in der Treiberlandschaft führt. Weiter Ressourcen können nach Belieben ebenfalls schon hier geblockt werden, s. Screenshot:

Diese Tasks lassen sich, wie weiter Oben gesehen, bequem über die GUI erledigen. Dies ist jedoch sehr mühsam, wenn man 50+ Server zu betreuen hat. Hier hat Marcel Göertz aus den Niederlanden einen sehr interessanten Artikel verfasst, wie diese Aufgabenstellung mittels WMI viel eleganter zu lösen ist.

Benutzer(Gruppen) mittels WMI berechtigen
In dem Codebeispiel weiter Unten wird der User domain\johndoe auf dem RDP Protokoll als User berechtigt. Dabei ist es wichtig, dass der Code auf der Maschine ausgeführt wird, für die diese Berechtigung gelten soll.

Achtung: Alle Codebeispiele bestehen aus nur einer Zeile, egal wie der Browser dies darstellt! Evtl. vorhandene Zeilenumbrüche müssen mit einem Leerzeichen ersetzt werden.
WMIC /NODE:"." RDPERMISSIONS WHERE TerminalName="RDP-tcp" CALL AddAccount "domain\johndoe",1

Drei Teile dieser Kommandozeile müssen hier erläutert werden:

• TerminalName=”RDP-tcp”
  Für RDP ist der Name normalerweise RDP-tcp. Falls dieser Name auf deinen Servern anders lautet, muss der Wert angepasst werden.
  Um die Berechtigungen für das ICA Protokoll anzupassen, muss TerminalName=”ICA-tcp” verwendet werden. Konsolenzugang kann mittels TerminalName=”console” gesteuert werden.
• AddAccount “domain\johndoe”
  Die Funktion “AddAccount” benötigt entweder einen User-, oder Gruppennamen inklusive Domäne. Um Built-In User hinzuzufügen, kann domain mit builtin ersetzt werden, z. B. AddAccount “builtin\Administrator”. Um eine Gruppe hinzuzufügen, kann einfach der Gruppenname verwendet werden, z. B. AddAccount “domain\Domain Admins”.

Ein Beispiel:
WMIC /NODE:"." RDPERMISSIONS WHERE TerminalName="RDP-tcp" CALL AddAccount "domain\Domain Admins",2

• Vollzugriff, Gast-, oder Userzugriff
  Die abschliessende 2 in dem Beispiel beschreibt die Zugriffsrechte, wobei:
  • 0 : Guest Access
  • 1 : User Access
  • 2 : Full Control

  bedeuten.

ICA/RDP Berechtigungen entfernen
Um Berechtigungen auf einem Protokoll wieder zu entfernen, muss die Syntax etwas angepasst werden.
In diesem Beispiel wird der Built-In Gruppe “Remote Desktop Users” der Zugriff über das ICA Protokoll entzogen:
WMIC /NODE:"." RDACCOUNT WHERE "TerminalName='ICA-tcp' and AccountName='Builtin\\Remote Desktop Users'" CALL Delete

Um die “Domain Users” Gruppe zu entfernen, wird folgender Code benötigt:
WMIC /NODE:"." RDACCOUNT WHERE "TerminalName='ICA-Tcp' and AccountName='domain\\Domain Users'" CALL Delete

Hast du den doppelten Backslash bemerkt? Dieser ist, aus für mich nicht nachvollziehbaren Gründen, leider notwendig. Zumindest bist du jetzt gewarnt 😉

Komplettes Beispiel
Hier ist ein Beispiel für ein dreizeiliges Batch Script, um einen Terminalserver abzusichern.
Mit PsExec, einem genialen Tool aus der PsTools Sammlung von Sysinternals auf allen Remote Servern ausgeführt, ist eine Serverfarm in kürzester Zeit aktualisiert.
Die drei Zeilen machen folgendes:

• 1. Stellt sicher, dass nur Citrix Administratoren (domain\citrixadmins) den Server via RDP erreichen können
• 2. Entfernt die Berechtigungen für die “Domain Users” Gruppe
• 3. Entfernt die Berechtigungen für die “Remote Desktop Users” Gruppe

WMIC /NODE:"." RDPERMISSIONS WHERE TerminalName="RDP-tcp" CALL AddAccount "domain\citrixadmins",2
WMIC /NODE:"." RDACCOUNT WHERE "TerminalName='RDP-tcp' and AccountName='domain\\Domain Users'" CALL Delete
WMIC /NODE:"." RDACCOUNT WHERE "TerminalName='RDP-tcp' and AccountName='Builtin\\Remote Desktop Users'" CALL Delete

Info: Wenn ein, oder mehrere Gruppen die gelöscht werden sollen nicht berechtigt waren, läuft das Script trotzdem, mit einer Meldung ‘no such instance’, weiter.

Der Originalartikel kann übrigens hier nachgelesen werden.

Gruss
Ecki

I recently stumbled across this realy good article about restricting access to the RDP/ICA protocol on a Citrix or terminal server through WMI. You don’t have to be a programmer to understand the code, since it is realy easy to use and implement. With just one line of code it is possible to add/remove a user or group from the ICA/RDP protocol, thus allowing for better security for your servers.

If you have to setup or manage several terminal servers, this article can ease your life.

The article can be found here.

Regards
Ecki

Die Diskussionen um Optimierungsmöglichkeiten im WAN Bereich nehmen aufgrund zunehmender Server- und Rechenzentrums Konsolidierungen stetig zu. Einige der Grossen im Netzwerkgeschäft wie Cisco, F5, Packeteer, Riverbed und seit neuestem auch Citrix mit seinen WANScalern (ehemals Orbital Data), um nur einige zu nennen, bearbeiten dieses Feld seit einigen Jahren sehr erfolgreich. Dabei liegt der Fokus jedoch eindeutig auf der schnellen Bereitstellung von Datei- und Druckdiensten (SMB/CIFS), sowie weiteren oft benutzten Protokollen wie HTTP, FTP und MAPI (Outlook/Exchange).

Nicht erst seit der Ãœbernahme von Orbital Data durch Citrix im Herbst 2006 nehmen die Anfragen zu, ob und wie auch ICA zu optimieren ist. Sei es, dass hohe Latenzen über Satellitenstrecken, oder GPRS/UMTS zu schleppendem Bildschirmaufbau führen, oder das ein grosser Druckjob einen ganzen Standort ausbremst, die Rufe nach Erlösung werden immer lauter. Citrix hat mit seinen WANScalern in vielen Firmen grosse Erwartungen geweckt und wird in seinen öffentlichen Präsentationen auch nicht müde, die Werbetrommel zu rühren und ihre Botschaft, “we overcome latency” und “latency doesn’t matter anymore” ist allenorts zu hören.

Als Vertreter von Riverbed Produkten in der Schweiz kenne ich die Technologien und Abhängigkeiten in diesem Umfeld sehr genau und weiss um die Schwierigkeiten im WAN Umfeld. Daher konnte ich bei diesen Ankündigungen immer nur ungläubig den Kopf schütteln und die Erwartungen in Verbindung mit ICA Optimierungen bei meinen Kunden herunterschrauben. Eigene Tests mit WANScaler und Riverbed Appliances zeigten in diesem Bereich, wie erwartet, keine spürbaren Verbesserungen. Ein Vergleich der beiden Produkte wird demnächst hier zur Verfügung stehen. Aktuell konnte mir Citrix leider nur WANScaler mit dem nicht offiziellen (Citrix)Release 3.1.8, welcher mehr oder weniger ein umgelabelter Orbital Date Release ist, zur Verfügung stellen. Die aktuelle Version 4.1, als erste “echte” Citrix Version stand mir trotz wiederholtem Nachfragen und Bitten bisher nicht zur Verfügung. Sobald ich Zugriff auf diese Version habe, werde ich die Tests für die WANScaler wiederholen und den Vergleich veröffentlichen. Aber nun zurück zum Thema…

Nun hat Citrix Consulting endlich ein Papier veröffentlicht, welches nüchtern und unabhängig von Marketingaktivitäten die Möglichkeiten und vor allem Grenzen bei der Optimierung des ICA Protokolls darlegt. Ich kann dieses Papier nur jedem zur Lektüre empfehlen, der sich auf den Besuch eines “WAN Optimierers” jeglicher Herkunft vorbereiten möchte. Allen anderen Citrix Administratoren sei dieses Papier ebenfalls ans Herz gelegt, denn früher oder später kommt dieses Thema auf den Tisch und dann ist froh, wer nicht unvorbereitet ist.

Truths and Myths of Presentation Server and WAN Optimization

Gruss
Ecki

Discussions about optimizing WAN links are on the rise, as a result of an increasing tendency to consolidate server and data centers. Most of the big players in networking business like Cisco, F5, Packeteer, Riverbed and since a couple of months Citrix with his WANScaler (former Orbital Data), just to name a few, are very active in this field. The focus however is usually in accelerating file and print services (SMB/CIFS), as well as frequently used protocols like HTTP, FTP and MAPI (Outlook/Exchange).

Not only since the acquisition of Orbital Data by Citrix in Oktober 2006 more and more people are asking if and how ICA can be optimized. Be it that high latency on satellite links, or GPRS/UMTS slows down screen refreshes to an unacceptable rate, or that one big print job bars a whole site from working, people ask for help more and more. Citrix with their WANScaler raised the expectations in many companies and won’t get tired of deliver their message “we overcome latency” and “latency doesn’t matter anymore”.

As a Riverbed partner in Switzerland i know the technologies and dependencies pretty good and also know about the problems in WAN environments. Therefore i couldn’t believe all those announcements and always tried to scale down the expectations of my customers. My own tests with WANScaler and Riverbed appliances showed no noticeable improvement in this area. I will post a comparison between these two products on this blog shortly. Citrix was only able to provide me with a WANScaler with the unofficial (Citrix)release 3.1.8, which is more or less a rebranded Orbital Date release. I couldn’t get my hands on the actual version 4.1 which is supposed to be the first “real” Citrix version of WANScaler, regardless how much i asked and begged. As soon as i have a chance to test the new release i will post the results here. But now back to the main topic…

Now Citrix consulting finaly released a paper, in which they analyze and describe the possibilities and especially the limits when trying to optimize ICA. I can really recommend this paper for everyone who is awaiting the visit of any kind of “WAN optimizer” for preparation. All other Citrix administrators are encouraged to read this paper too, because this topic will become important sooner or later – and then you will be prepared.

Truths and Myths of Presentation Server and WAN Optimization

Regards
Ecki

Ich bin gerade über einen höchst interessanten Artikel gestolpert, der sich auf fundierte Weise mit dem Load Balancing von Presentation Server befasst. Der Artikel ist der Erste in einer ganzen Reihe von Beiträgen zu diesem Thema.

Citrix Administratoren kann ich diesen Artikel nur wärmstens empfehlen. Der Artikel kann hier in voller Länge gelesen werden: Presentation Server Load Balancing (Part 1 of n – Overview)

Gruss
Ecki

I recently stumbled uppon this realy good article about Presentation Server Load Balancing. This Article is the first in a loose series of articles on this topic.

Citrix admins are highly encouraged to read this article. It can be found here: Presentation Server Load Balancing (Part 1 of n – Overview)

Regards
Ecki

AAC Admins, die RSA SecureID, SafeWord oder eine andere Two Factor Authentifizierungsmethode einsetzen, kennen das Dilemma. Durch den Token wird zwar die Sicherheit deutlich erhöht, wenn der Token aber mal nicht zur Hand ist, gibt es keinen Zugriff auf interne Ressourcen. Das muss nicht sein. Ein LogonPoint der für Two Factor Authentication konfiguriert wurde, erfordert nicht immer zwingend ein One Time Passwort.

Wie schon im ersten Beitrag zu dieser Reihe, befindet sich der Schlüssel in der Datei “web.config” im Root des jeweiligen LogonPoint Verzeichnisses.

Auf einem Standard AAC Server vermutlich unter:

C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

Es existiert noch eine weitere Version dieser Datei unter “C:\Inetpub\wwwroot\CitrixLogonPoint\”, welche unberührt bleiben sollte !

Diese Datei lässt sich mit einem Editor wie z. B. NotePad öffnen und bearbeiten. Im letzten Drittel findet sich der Abschnitt <appSettings>, in dem diverse Einstellungen vorgenommen werden können. Unter Anderem lässt sich hier auch die Two Factor Authentication so konfigurieren, dass ein One Time Passwort nicht mehr zwingend erforderlich ist. Dazu genügt es, folgende Zeile im <appSettings> Block zu ändern:

Von
<add key=”SecondaryAuthenticationIsOptional” value=“false” />
auf
<add key=”SecondaryAuthenticationIsOptional” value=“true” />

Der Abschnitt sollte dann so aussehen:

<appSettings>
<add key="DebugConsoleTrace" value="False" />
<add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
<add key="AdvancedGatewayClientActivationDelay" value="10" />
<add key="MaxConnectionsToAuthenticationService" value="20" />
<add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
<add key="DeployedBy" value="LACONFIG" />
<add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
<add key="SecondaryAuthenticationIsOptional" value="true" />
<!- -

Nach dem Speichern der Datei sieht der User bei diesem einen LogonPoint nun zwar immer noch die Eingabemaske für RSA, SafeWord, etc., kann dieses Eingabefeld nun aber auch leer lassen und nur mit Username und Passwort einloggen.

Diese Manipulation reisst natürlich erst ein Mal ein grosses Loch in die Sicherheitseinstellungen der Installation. Um nun die Two Factor Authentication nicht völlig zu entwerten, muss an anderer Stelle nachgebessert werden. Mit Hilfe eines angepassten Filters und einer angepassten Policy kann die Sicherheit jedoch weiterhin hoch gehalten werden.

Der Filter für den vollwertigen Zugriff muss zwingend RSA, SafeWord, oder RADIUS als Authentifizierung voraussetzen. Dazu bietet der Filtergenerator den Punkt “Authentication Strength”. Nur wer eine starke Authentifizierung durchführt, bekommt Vollzugriff auf alle Ressourcen.

Hat der User sein Token ein Mal nicht im Zugriff, kann er sich trotzdem ohne One Time Passwort authentifiziert. Dann greift allerdings ein anderer Filter (identisch mit dem Filer für vollwertigen Zugriff, allerdings ohne Strong Authentication) und eine andere Policy, die den Zugriff restriktiver handhabt. So kann der User zumindest auf eine eingeschränkte Umgebung zugreifen und ist nicht zum Däumchen drehen verdammt 🙂

< < AAC Tuning, Teil 1 – AAC Tuning, Teil 3 >>

!!! Bitte beachtet den ersten Kommentar zu diesem Beitrag !!!

Gruss
Ecki

AAC admins that deploy LogonPoints with RSA SecureID, SafeWord or any other Two Factor Authentication solution know the dilemma. The token realy boosts security, but if the token isn’t at hand, there is no way to access internal resources. Fortunately this is not imperativ. A LogonPoint configured with Two Factor Authentication must not always require a One Time Password.

As in part 1, the solution can be found in the “web.config” file in the root of the respective LogonPoint directory.

On a standard AAC server this is presumably:

C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

There is an other version of this file in the “C:\Inetpub\wwwroot\CitrixLogonPoint\” directory which should stay untouched !

This file can be opened and edited with any editor like the Windows NotePad. In the last third of the file you can find a section <appSettings>, which gives you some interesting possibilities. Among other things you can configure Two Factor Authentication such, that a One Time Password is not mandatory. All it needs is to change the following line below the <appSettings> section:

From
<add key=”SecondaryAuthenticationIsOptional” value=“false” />
to
<add key=”SecondaryAuthenticationIsOptional” value=“true” />

The section should look like this afterwards:

<appSettings>
<add key="DebugConsoleTrace" value="False" />
<add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
<add key="AdvancedGatewayClientActivationDelay" value="10" />
<add key="MaxConnectionsToAuthenticationService" value="20" />
<add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
<add key="DeployedBy" value="LACONFIG" />
<add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
<add key="SecondaryAuthenticationIsOptional" value="true" />
<!- -

After saving the changes, a user calling this manipulated LogonPoint will still see the prompt for RSA, SafeWord, or RADIUS passcode, but he is now able to leave this field empty and log in with just his username and password.

This manipulation creates a big hole in your security configuration, but this hole can be easily closed again. All that is needed is to reconfigure your filters and policies.

The filter for full access must require RSA, SafeWord, or RADIUS authentication. Therefore the filter generator allows to use the authentication strength as a criteria. Only users using strong authentication get access to all resources.

A user that has no access to his token is nevertheless able to authenticate without a One Time Password. But now an other filter is matched (you can create the same filter as for full acces, but without strong authentication) and an other, more restrictive policy becomes active. This way, the user is at least able to work in a restricted environment, then to stop working 🙂

< < AAC tuning, part 1 – AAC tuning, part 3 >>

!!! Please read the first comment to this post !!!

Regards
Ecki