[Résolu] Authentification avec l'Interface Web

dilem33,



L’authentication intégrée à la web interface m’intessse bcp (je ne savais meme pas que c’était possible)

En effet, certains de mes users se plaignent pas mal de devoir constamment s’authentifier sur la web interface (il passaient avant par TSE, et tout les éléments étaient sauvegardés dans leur client), dc mettre cela en place pourrait être sympa



Par contre, pourrais-tu stp détailler davantage les points suivants, car tres franchement, je ne vois pas où les paramétrer :

Authentification intégrée pour l’interface Wen de Citrix.

Authentification Windows intégrée sur les 4 serveurs au niveau de IIS.





merci par avance!

Salut Julien78,

Il faut aller dans la "Citrix Acces Management Console" et faire un clic droit le nom de ton "groupe de site" (ou sur ton site si tu n'en a qu'un) >>> faire un clic gauche "Configurer les méthodes d'authentification".
Ensuite tu selectionnes "Authentification unique". Dans les "Propriétés" >>> "Authentification unique" >>> "Authentification Kerberos", j'ai coché "Utiliser l'authentification Kerberos pour se connecter aux serveurs".

Il faut aller dans les propriétés du site web qui héberge l'Interface Web sur les IIS qui constituent le NLB (ou sur le IIS de ton serveur si tu n'en a qu'un) >>> onglet "Sécurité de répertoire" >>> "Modifier" >>> décocher "Activer la connexion anonyme" et cocher "Authentification Windows intégrée"

En espérant t'avoir renseigné :)

Merci beaucoup pour ces précisions!

Un détail m’avait malgré tout échappé : les utilisateurs et les serveurs sont dans des domaines AD différents… donc l’authentification unique ne marche pas.

Dans ce cas-là, mis à part utiliser la sauvegarde dans le cache du navigateur, je pense que c’est mort…?

C’est deux domaines de la même foret ? Car dans se cas sa fonctionne.

Un autre point Julien :



En arrivant ce matin, l’authentification intégré ne fonctionnait plus au niveau du lancement des applications.

Le seul paramètre qui ait changait est l’ajout de l’option “Utiliser l’authentification Kerberos pour se connecter aux serveurs” qui s’est appliquée dans la soirée.



Je l’ai donc retirée et j’attend que le changement soit effectif pour tester à nouveau.

Je vous remonterai les résultats.

Sauf grosse connerie de ma part (Thin tape pas trop fort), le passage des identifiant dans IE n’est valide que depuis la vertion 5 et fonctionne uniquement en NTLM, donc pour le chien a trois têtes gardien des portes de l’enfer, ca doit pas passer.

Merci bien pour ton retour dilem33

L’activation de l’authentification kerberos n’est donc pas immédiat apparrement…



Chavers,

Les 2 domaines sont dans la meme foret oui, par contre, les utilsateurs n’utilisent pas les memes login/mdp au sein de ces 2 domaines… je ne vois donc pas bien comment cela pourrait fonctionner…

en effet, user1@domain1 sur le client et applications publiées pour user1@domain2, ca match pas...
Tu as un probleme de profil pour utiliser 2 comptes différents?

Dans mon cas il y a un temps d'attente avant l'application des modifications d'authentification (normal ou pas je sais pas ::) )

Mais ce qui est important, surtout que Chavers viens de confirmer, c'est qu'il ne faut pas cocher l'option spécifiant une authentification via Kerberos au niveau du paramétrage des accès à l'Interface Web.

J'attend encore avant de vous confirmer que ça règle mon problème ...

Pas de pb de profils non, c’est plus pour des raisons d’organisation : tous les serveurs d’application pour la production se trouvent dans un domaine, géré par l’infogérereur. Les postes utilisateurs se trouvent dans un autre domaine, géré par une cellule informatique interne à la société, avec des relations d’approbations entre les 2 domaines; les users se connectent d’abord sur leur poste en utilisant leur login du domaine de la société puis lancent les applis via la web interface qui se trouve sur le domaine de l’infogéreur

La modification est passée et ça fonctionne de nouveau.

Je confirme donc qu'il ne faut pas activer Kerberos pour l'authentification intégrée avec l'Interface Web :)

Pour ce qui est de te connecter à l'Interface Web avec une authentification automatique ça devrait passer via une petite manip sur tout les postes.
En revanche, pour ce qui est de te connecter automatiquement aux applications elles-mêmes je pense que c'est mort ... je vais faire des tests sur une VM et je te dis.

Donc je confirme, s'il est possible de spécifier un compte par défaut différent pour l'authentification simplifiée de IIS et de l'Interface Web elle même, en revanche pour la connexion à l'application publiée il va récupérer les identifiants de session.

Donc vu que tu utilises un compte Citrix différent de celui de la session local je ne vois pas comment solutionner ton problème.
Tu auras un message d'erreur t'indiquant que le compte utilisé n'a pas les droits pour ouvrir une session TSE sur le serveur.

J’ai fait des tests en dev, et c’est plutot concluant

J’ai juste coché “authentification unique” dans les paramètres d’authentification et utilisé le cache du navigateur.



Lorsque l’utilsateur se loggue pour la premiere fois, un pop-up s’ouvre pour lui demander son login/mdp dans le domaine dans lequel est la web interface. Il rentre les infos et coche "mémoriser le mot de passe"

La fois d’apres, lorsqu’il se connecte de nouveau, il recoit directement sa liste d’applis.

Ca n’est pas du tout de l’authentification unique (rien à voir!) mais cela pourrait faire l’affaire… je continue mes tests et demande à des users de l’informatique de dorénavant passer par cette web interface pour lancer leurs applis, afin d’avoir leur retour, si cela ne posent pas de probleme que je n’aurais pas vus…

Ca permettra tout de même d’éliminer une des deux authentifications (celle sur l’Interface Web).

Toujours ça de gagné

Un petit retour sur ce que j’ai mis en place… et qui ne sera malheureusement pas mis en production, car il y a un petit détail qui fait que ca ne peut pas convenir (je suis un peu dégouté, vu le tps que j’ai passé la dessus)

• sous la console access suite, je coche “explicite” et “authentification unique”
  
• sous le gestionnaire des services IIS, section sécurité de répertoire authentification et controle d’acces je décoche la connexion anonyme et je coche l’authentification de base uniquement. Dans les 2 champs “domaine par défaut” et “domaine”, je renseigne le nom complet du domaine ou se trouve la WI
  
• lorsque les users se logguent, ils recoivent un pop-up windows leur demandant login/mdp, ils cochent “mémoriser le mot de passe”, et les fois d’apres, ils n’ont plus qu’à valider leur paramètres d’authentification (tres bien qu’il demande confirmation, comme ca, ca permet également de se logguer sous un autre nom d’utilisateur)
  
  
  
  Donc jusqu’ici, j’étais confiant
  
  
  
  Mais le probleme se pose lorsqu’un nouvel utilisateur ne s’étant encore jamais connecté au domaine lance la web interface. L’authentification ne passe pas. Il boucle 3 fois sur le pop-up d’authentification. Si par contre, il se loggue au préalable sur une autre WI (avec authentification explicite cette fois) et revient ensuite sur la WI avec l’authetification unique, ca passe. Bizarre…
  
  
  
  Si jamais qq’un avait une idée par rapport à cette histoire de nouveau compte, ca m’arrangerai bien
  
  Parce que mis a part ça, ça marche nickel, et il y en aurait plus d’un qui serait content de ne plus avoir à taper son login/mdp (certains users en usine ont des logins à ralonge)

Comme autre alternative, tu peux utiliser le client PnAgent qui permet aussi de sauvegarder le login/mdp.

Tu t’es empétré dans l’authetification IIS couplée à celle de la WI.

Moi je ne travaille qu’au niveau de l’authentification WI et je laisse l’authentification IIS par défaut.

Je suppose, que comme tu as désactivé l’accès anonyme, le nouvel utilisateur cherche à se signer mais ne peux y acceder aux elements d’authentifcation WI car celui n’a pas les droits comme il est anonyme.

Julien c’est ok pour toi ?



Pour savoir si je met ce post en résolue.