Bonjour,
J’utilise depuis peu l’agent neighborhood pour les connexions aux applications publiées;
La méthode d’authentification retenue est “Authentification unique”.
Si l’utilisateur change son mot de passe lors de l’ouverture de session de son poste de travail (mot de passe arrivé à expiration), AD enregistre ce changement et tout fonctionne correctement.
Seulement voila, lorsque le mot de passe arrive à échéance et que celui-ci est changé par
un admin, ou que celui-ci est modifié au lancement d’une application publiée, le compte AD de l’utilisateur fini tjs par se verrouillé.
En effet, l’agent envoi en permance un login/password (l’ancien) et après x tentatives le compte est verrouillé. GPO qui fixe le nombre de tentatives, verrou de compte, etc…
Comment traitez vous ces problématiques ?
Est-il possible que CITRIX “bypass” le processus winlogon sur un serveur ?
Dois-je plutôt gérer mon souci au niveau poste de travail ? Ne pas laisser le choix à l’utilisateur et forcer le changement de mot de passe lors d’un démarrage de PC.
Encore que si le mot de passe arrive à expiration pendant une session CITRIX, le compte va se verrouillé.
Merci de votre aide. Je planche sur le pb depuis pls mois et il revient à grande vitesse pour le mois de novembre
et je n’ai pas de solution.
c’est évident que ce problème survient si le changement de mot de passe n’est pas fait au niveau de la station ! comment le PNA (ou plus exactement ssonsvr.exe) peut savoir que le mot de passe a été changé DANS la session ICA ou par un méchant admin ?
les changements de mot de passe quand le SSO est utilisé doit être fait lors du logon sur la machine cliente OU via le PNA lui-même (encore faut-il que le méchant admin l’autorise).
Tous les détails pour troubleshooter les problèmes de SSO :
http://support.citrix.com/article/CTX368624 Troubleshooting Citrix Pass-through Authentication (Single Sign-On)
Bonjour et merci pour la réponse
Cela va me faire pas mal de lecture.
J’épluche tout ça, je recette et je reviens vous dire.
Bonjour
J’ai activé “Approuvé l’ordinateur pour la délégation” dans l’AD pour mes serveurs CITRIX.
Côté client, dans la gpo Composants CITRIX, j’ai activé l’authentification Kerberos.
Sur le partage des mes profils itinérants j’ai placé un “null session share”.
Dorénavant lorsque l’option “L’utilisateur doit change son mot de passe” est cochée dans AD, j’obtiens
mon appli publiée sans passer par ce winlogon “changement de mot de passe”.
A priori, l’application est obtenue via kerberos.
Pouvez-vous me dire si je suis sur la bonne piste ? Ai-je oublié qq chose ?
Merci de votre aide
bjr,
j’ai retiré les paramètres wins sur les serveurs citrix.
Les postes clients se déclaraient sur des wins qui n’étaient pas répliqués sur le site central.
Donc 1 serveur wins pour les clients, 1 serveur wins pour les serveurs et des sous-réseaux différents.
Lors de la tentative d’intentification du Pc il y avait une erreur “impossible d’identifier le nom de l’ordinateur”.
Comme les serveurs et les clients sont dans le même domaine, les dns remplissent leur rôle et l’identification du pc se fait.
Il semble donc que wins était utilisé prioritairement.