J’ai lancé ethereal au moment de ma connexion à mon serveur Citrix via Interface Web et dans le flux, j’ai capturé ça :
LoginType=Explicit&user=moi&password=mon_password&submitMode=submit&slLanguage=fr&ReconnectAtLoginOption=DisconnectedAndActive&login=Ouvrir+une+sessionHTTP/1.1 100 Continue
c’est à dire mes logins et mots de passes en clair (alors qu’avec le client ICA c’est crypté)!!
Comment faire pour crypter la connexion ?
Merci !
EDIT : j’aimerais garder l’authentification explicite (on rentre directement les logins mot de passe dans l’interface web) et ne pas passer par l’authentification Kerberos.
tu as placé ta sonde sur ton client ou sur la machine web interface ?
en utilisant SSL sur ton IIS tu pourra crypter tout cela
C’est en clair sur le client et sur la Web Interface… :?
"ThinIsFat" wrote:
tu as placé ta sonde sur ton client ou sur la machine web interface ?
en utilisant SSL sur ton IIS tu pourra crypter tout cela
en utilisant SSL sur ton IIS tu pourra crypter tout cela
S'il suffit d'ajouter un certificat au site, quelle est l'utilité de la secure gateway ?
le certificat sur WI va encrypter le traffic HTTP (donc celui entre ton client et IIS)
Secure Gateway va encapsuler le trafic ICA dans SSL entre la machine cliente et Secure Gateway qui jouera le role de proxy entre ton client et le serveur Citrix.
http://www.brianmadden.com/attachments/Brian%20Madden%20-%20Citrix%20MetaFrame%20XP%20Security%20Design.pdf
page 28 et suivantes
Oui évidemment, le certificat ne va encrypter que le traffic http, et donc QUE le logon. Une fois authentifié, il ne reste que du traffic ICA, qui ne pourra lui être encrypté que via Secure Gateway.
C’est très clair.
Merci !
Bon bah je vais peut être passer en authentification Kerberos alors…
le certificat sur WI va encrypter le trafic HTTP entre le client et le serveur WI.
Pour encrypter le trafic entre le client et le serveur Citrix, il faut ajouter Secure Gateway
pour encrypter le trafic XML entre WI et le serveur Citrix, il faut installer SSL Relay (donc un certificat sur le serveur Citrix)
plus d’info : http://support.citrix.com/article/CTX16830
Et si la WI et le serveur Citrix sont sur la même machine ?
C’est peut être la solution finalement non ?
euh… pour un accès vraiment sécurisé ce n’est pas recommandé d’avoir à la fois WI, Secure Gateway et MetaFrame sur la même machine, même si dans les petites structures cela se fait (via Citrix Access Essentials)
en effet, je conseillerai plutot le setup suivant :
dans la DMZ (donc entre deux firewall) un serveur WI et un serveur SG (si besoin les deux sur le même serveur) et les serveurs MetaFrame derrière le second firewall
C’est sur cette conf que je vais partir je pense (Wi + SG sur la même machine).
Niveau certificats, il me faudra quoi ?
Wi : un certificat SSL
Secure Gateway : un certificat server
client : le certif root qui a signé le certificat de la gateway
et c’est tout non ?
exact. le certificat racine sur les machines clientes
un certificat serveur sur WI qui pourra si besoin être utilisé à la fois par SG et WI
attention : si tu as la meme machine, configure SG pour écouter sur un autre port que 443 car celui ci sera déjà pris par IIS
pense donc à ouvrir correctement les ports sur le firewall
Hum… pas évident en utilisant l’autorité de certification native de Advanced windows 2000 server :
je pense qu’en sélectionnant cette option je vais obtenir un certificat server pour ma gateway (oui, non ?) :
Mais comment faire pour récupérer le certif racine ensuite ?
Ca serait peut être plus simple en passant par OpenSSL…
j’ai déjà donné un lien vers un article Citrix qui explique comment jouer avec l’autorité MS
OUi c’est ce type de certificat qu’il faut
le certif racine se download sur http://mon_certserveur/certsrv et choisis l’option de certificat racine