"Allow Local Credential Pass-through" GPO

Bonjour,



Je suis en train de faire des tests de passe through sur XAP6 avec Windows2K8 R2.



J’ai configurer mes sites web et mes services pour faire de pass-through.



Avec mon online-plugin (ex PN agent) j’ai les icones de mes applis publiées qui apparaissent de façon transparente sur mon bureau et je peux les ouvrir là aussi de façon transparente.



Par-contre avec la web interface, je dois d’abord m’assurer que mon site web est dans la zone intranet local (ou trusted sites en baissant la sécu…). A partir de là ma liste d’applis apparait de façon automatique.



PAR CONTRE, une fois que je clic que une appli, il faut à nouveau que je me connecte. J’ai bien vu ceci :

Each user can choose to disable pass-through authentication through the client registry settings, the Program Neighbourhood window, or by editing their copy of AppSrv.ini. To enable pass-through authentication, the user’s copy of AppSrv.ini must contain the setting “EnableSSonThruICAFile=true”.



Effectivement cette partie "AppSrv.ini must contain the setting “EnableSSonThruICAFile=true” fonctionne. mais je ne trouve pas ça très satisfaisant en terme d’automatisme.



Quelqu’un connait-il une meilleure méthode?



Quelqu’un sait-il expliquer cette partie?

To enable pass-through authentication, the client must have been installed by an administrator, and the “Allow Local Credential Pass-through” option must have been selected at that time.



Les parties en anglais viennent de la description de la policy setting “local user nam and password” dans le icaclient.adm.



Merci.



otip

je peux expliquer “To enable pass-through authentication, the client must have been installed by an administrator, and the “Allow Local Credential Pass-through” option must have been selected at that time.”…



Le Pass-through est en fait une combinaison de plusieurs éléments, dont pnsson.dll et ssonvr.exe

pnsson.dll est un Network Provider et doit donc s’enregistrer comme tel lors de l’installation. cependant, cet enregistrement n’est possible que si un administrateur local de la workstation installe le client ICA. Un utilisateur normal (sans droit d’admin local) ne pourra pas le faire.

Une fois cela effectué, pnsson est appelé au logon sur la workstation (quand l’utilisateur clique pour s’authentifier) et récupère les credentials qui sont alors stockés dans une zone de mémoire accessible uniquement par ssonsvr.exe



http://support.citrix.com/article/CTX113004 qui indique qu’effectivement il faut autoriser le SSO par fichier ICA