Séquencement entre server authentification forte et CAG

Bonjour,



Nous souhaitons mettre en place un service permettant d’accéder à des applications publiées (grâce à Citrix) sur un portail WWW.

L’idée est que depuis notre site Web, l’utilisateur final ait accès à un bouton (“se connecter” par exemple) qui lui permette de s’identifier sur un server d’authentification forte (OTP). Pour cela, une fenêtre de login apparait et l’utilisateur entre ses identifiants. Dès que l’authentification est validée, l’utilisateur doit être redirigé sur un portail customizé (de type WebSphere, Visionapp … et non la WebInterface de Citrix) lui permettant de lui présenter notamment les applications auxquelles il a accès.



Dites moi si je me trompe mais d’un point de vue séquencement de connexion, l’utilisateur se connecte tout d’abord en HTTP sur notre serveur web, ensuite il est redirigé vers le serveur d’authentification et seulement ensuite il est connecté sur la CAG. Est-ce bien cela ?

Et à quel moment le serveur WebInterface intervient ?



Merci d’avance

Alfred

bonjour



la séquence est :

connexion sur le serveur web en HTTP, authentification, redirection vers le portail (websphere)

dans websphere il faut ajouter un servlet Web Interface qui s’occupe d’afficher les applications

l’utilisateur clique alors sur l’application et la session se fait via la CAG (si elle est en mode Secure Gateway)



si tu regarde les posts précédents, frederichuet (je crois) avait posté un diagramme qui explique l’interaction entre les composants, sinon tu a dans la section Citrix Presentation Server du forum un PDF avec la liste de tous les ports et donc les diagrammes de communication

Merci bcp ThisIsFat,



La CAG est là pour le tunnel VPN SSL et le poste client.

quels sont les différents mode de la CAG ?



Merci

CAG en mode Secure Gateway ne fonctionne pas comme un VPN-SSL mais comme un ICA-SSL

il ne sécurise que le flux ICA en l’encapsulant (désolé je n’ai pas le terme FR) dans du SSL à la façon de Secure Gateway



en mode VPN-SSL, il fonctionne comme tout VPN-SSL avec un agent installé sur la machine cliente et que l’utilisateur lance quand il veut une connexion (authentification requise, via double authentification, radius etc au choix) et l’agent va rediriger toute requete d’IP interne vers la CAG (ajoute aussi les entrées dans le DNS search order suivant config)



il y a aussi le mode Advanced Access Control qui nécessite une architecture en plus de la CAG avec un end point analysis qui donne des accès granulaires en fonction de règles définies (domaine membership, MAC address, version AV, présence firewall soft, etc etc etc)

en mode VPN-SSL, est-ce que l’utilisateur ne se connecte que sur la CAG et c’est elle qui accède aux serveurs pour l’exécution des applis ?

Le client a installer sur le poste client n’est pas le même que le client ICA ? (euh je ne sais pas si c’est très clair ça ?)

Car a priori les données véhiculées entre la CAG et les postes clients sont les mêmes qu’en mode Secure Gateway, non ?



Merci pour ta dispo. Thin



Alfred

en mode CAG-SG il n’y a rien d’autre à installer que le client ICA car la CAG ne fait que du ICA-SSL



en mode VPN-SSL, l’utilisateur va sur https://monaccessgateway.macompagnie.com et il obtient une page où il y a un bouton "se connecter"

cliquer dessus entraine le download du Secure Access Client et l’utilisateur devra alors entrer ses credentials

là, un tunnel VPN-SSL est fait entre le poste client et le réseau d’entreprise via la CAG c’est donc juste un VPN tout transite par lui bien sûr

okey dokey

Thank you very much dear mister ThinIsFat

Bonjour,



J’ai bien compris le séquencement si ce n’est qu’une chose, encore, me turlupine.

Tu dis "en mode VPN-SSL, l’utilisateur va sur https://monaccessgateway.macompagnie.com et il obtient une page où il y a un bouton “se connecter"

cliquer dessus entraine le download du Secure Access Client et l’utilisateur devra alors entrer ses credentials.”
.

Comment la page affichée par https://monaccessgateway.macompagnie.com est-elle modifiable ? Je m’explique: dans la mesure où la CAG est (ou peut être) une appliance, comment fait-elle pour afficher une page html personnalisée ? Y a-t’il la possibilité de lui spécifier un serveur et un chemin ?



Merci encore

Alfred

il est possible via l’interface web de configuration de modifier cette page

Ce sont les 3 fichiers (dont BasePage.aspx) qui se trouve sous le répertoire CitrixSessionInit qui permettent d’afficher la page de Logon sur la CAG , c’est bien cela ?

vérifie page 161 et suivantes du guide d’admin de la CAG 4.5

La version standard de CAG 4.5 suffit pour faire cela ou il faut la version Advanced (et donc AAC) ?



Merci encore pour votre précieuse aide

Alfred

la version standard suffit.



Advanced permet d’ajouter tout un système de stratégies qui offrent un accès granulaire en fonctions des résultats d’analyse du poste client (domaine, AV et sa version, est-ce que l’AV tourne, in firewall soft…

Merci bcp