Hello,
Tout d’abord merci pour ce super forum! Propre et bien fourni, c’est sympa comme tout!
Bon je vous explique mon souci:
Je voudrais mettre en place une solution avec du XenAPP mais je dois avoir forcement une authentifcation biométrique. J’ai l’habitude de ces solutions d’authentification forte mais moins de Citrix.
Donc, ce que j’ai fait jusqu’à maintenant:
- 1 serveur (A) qui tourne 2008 R2 x64, qui fait DC et DNS
- Ce même serveur tourne Hyper-v qui héberge XenAPP 6.0 et la Webint 5.3 sur un 2008 R2 également (machine B)
- Ce même serveur tourne Hyper-v qui héberge XenAPP 6.0 et la Webint 5.3 sur un 2008 R2 également (machine B)
- 1 autre serveur (C) qui tourne 2008 R2 x64, qui fait PKI (Microsoft)
- 1 laptop XP dans le domaine sur lequel est branché un lecteur de smartcard avec prise d’empreinte.
J’ai paramétré la webInt pour qu’elle accepte l’authentification par smartcard et ca fonctionne. En gros, quand j’arrive sur la WebInt, mon empreinte est demandée afin que je dévérouille l’accès à la carte et hop je rentre dans la WebInt et je vois les applications publiées. Il n’y a pas de PIN, celui-ci étant en fait remplacé par mon empreinte.
La où mon souci commence c’est lorsque je souhaite lancer une application. La WebInt lance une connexion sur le serveur Xenapp (qui est le même serveur en fait) et … le serveur XenApp essaye d’accéder au lecteur de carte. Le problème c’est que je même si dans mon cahier des charges, repasser mon doigt pouvait être accepté (ce qui n’est pas le cas), ça ne fonctionnerait pas car ce lecteur n’est pas supporté sous Windows 2008 R2.
Et là, j’entends des voix dire “ben voilà, c’est pour ça!”… Eh ben non
Je dirais que même si le lecteur était supporté, cela signifierait que je devrais repasser mon doigt à chaque fois que je lance une appli?? Ce qui me semble juste hors toute logique :o
Pourquoi la WebInt qui est sur le même serveur que XenApp ne peut pas faire une sorte de SSO avec XenAPP?
J’ai donc pratiqué le :RTFM2:
J’ai lu beaucoup de choses sur les Pass-Through, Kerberos et autres mais cela ne fonctionne pas. Le problème ici est que les docs sont faites pour des lecteurs de smartcard qui se dévérouillent avec un PIN et que ce dernier peut servir pour le SSO. Sauf que là, moi j’utilise de la biométrie et non un PIN…
Mes quetions sont donc:
- Est-ce que j’essaye de faire est possible ?
- Y’a-t-il un moyen de faire un lien entre la WebInt et mon AD afin que l’authentification entre le WebInt et XenAPP se fasse dans accéder de nouveau au lecteur? (et donc sans pb de driver)? Du SSO quoi…
- En gros, le serveur XenApp doit-il VRAIMENT avoir accès au lecteur?
- Si oui, cela signifie-t-il que je doive me réauthentifier à chaque lancement d’appli?
- Est-ce que le client Online Plug-in pourrait aider plutôt que la Webint? (j’ai testé, d’origine non)
- Le module Single Sign On pourrait-il servir?
- Suis-je le premier au monde à vouloir faire de la biométrie sous Citrix XenApp?
En tout cas, merci de m’aider avant que la dépression ne me gagne!
Seb
En fait, les concepteurs des lecteurs ne font pas de drivers (pour le Logon on s’entend bien) pour des OS comme 2008 car il est très rare d’avoir besoin de faire de l’authentification forte pour entre sur une session Microsoft d’un serveur qui se trouve dans un datacenter. Normalement les lecteurs sont sur des workstations.
