4
IGEL Thinclient AD Kerberos Anmeldung verschlüsselt?
Hallo,
wir verwenden die Thinclients von IGEL um die Anwender in eine XenApp Umgebung zu bringen. Dabei nutzen wir auch die AD/Kerberos Anmeldung, welche dann an den Receiver durchgereicht wird.
IGEL Profil und Firmware 5.06.100.01:
- Sicherheit -> Active Directory/Kerberos -> konfiguriert und Domäne 1 beide Domaincontroller hinterlegt
- Citrix XenDesktop / XenApp -> Citrix Storefront / Web Interface -> Anmeldung -> Passthrough-Authentifizierung verwenden aktiviert
- Citrix XenDesktop / XenApp -> HDX / ICA Global -> Lokale Anmeldung -> Kerberos Passthrough-Authentifizierung in allen ICA-Sitzungen verwenden
Das funktioniert alles bestens. Nach der AD-Anmeldung am IGEL werden die Zugangsdaten an den Receiver übergeben. Nun stelle ich mir die Frage ob dieser Vorgang auch verschlüsselt passiert?!
Bedeutet AD/Kerberos-Anmeldung, dass die Zugangsdaten zunächst an die AD-Controller geschickt werden? Wenn ja, woher weiß ich, ob dies verschlüsselt passiert?
Oder bedeutet AD/Kerberos-Anmeldung, dass die eingebenen Zugangsdaten zwar ein AD-Login darstellen, aber nicht direkt an die Domaincontroller geschickt werden, sondern an den Receiver übergeben werden und der kommuniziert verschlüsselt.
Danke für eure Hilfe,
mexx
wir verwenden die Thinclients von IGEL um die Anwender in eine XenApp Umgebung zu bringen. Dabei nutzen wir auch die AD/Kerberos Anmeldung, welche dann an den Receiver durchgereicht wird.
IGEL Profil und Firmware 5.06.100.01:
- Sicherheit -> Active Directory/Kerberos -> konfiguriert und Domäne 1 beide Domaincontroller hinterlegt
- Citrix XenDesktop / XenApp -> Citrix Storefront / Web Interface -> Anmeldung -> Passthrough-Authentifizierung verwenden aktiviert
- Citrix XenDesktop / XenApp -> HDX / ICA Global -> Lokale Anmeldung -> Kerberos Passthrough-Authentifizierung in allen ICA-Sitzungen verwenden
Das funktioniert alles bestens. Nach der AD-Anmeldung am IGEL werden die Zugangsdaten an den Receiver übergeben. Nun stelle ich mir die Frage ob dieser Vorgang auch verschlüsselt passiert?!
Bedeutet AD/Kerberos-Anmeldung, dass die Zugangsdaten zunächst an die AD-Controller geschickt werden? Wenn ja, woher weiß ich, ob dies verschlüsselt passiert?
Oder bedeutet AD/Kerberos-Anmeldung, dass die eingebenen Zugangsdaten zwar ein AD-Login darstellen, aber nicht direkt an die Domaincontroller geschickt werden, sondern an den Receiver übergeben werden und der kommuniziert verschlüsselt.
Danke für eure Hilfe,
mexx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294235
Url: https://administrator.de/contentid/294235
Printed on: April 25, 2024 at 14:04 o'clock
4 Comments
Latest comment
Hi,
E.
Dabei nutzen wir auch die AD/Kerberos Anmeldung
Wo? Direkt am Igel?welche dann an den Receiver durchgereicht wird.
Na wenn sie an den Receiver durchgereicht werden soll, dann muss die doch schon vorher erfolgt sein, und wird nicht erst durch den Receiver erfolgen. Oder? (Deine zweite Frage)Das funktioniert alles bestens. Nach der AD-Anmeldung am IGEL werden die Zugangsdaten an den Receiver übergeben. Nun stelle ich mir die Frage ob dieser Vorgang auch verschlüsselt passiert?!
Schon mal mit z.B. WireShark mitgeschnitten?Bedeutet AD/Kerberos-Anmeldung, dass die Zugangsdaten zunächst an die AD-Controller geschickt werden? Wenn ja, woher weiß ich, ob dies verschlüsselt passiert?
Oder bedeutet AD/Kerberos-Anmeldung, dass die eingebenen Zugangsdaten zwar ein AD-Login darstellen, aber nicht direkt an die Domaincontroller geschickt werden, sondern an den Receiver übergeben werden und der kommuniziert verschlüsselt.
s.o.Oder bedeutet AD/Kerberos-Anmeldung, dass die eingebenen Zugangsdaten zwar ein AD-Login darstellen, aber nicht direkt an die Domaincontroller geschickt werden, sondern an den Receiver übergeben werden und der kommuniziert verschlüsselt.
E.
Ja, die AD-Anmeldung erfolgt direkt am IGEL. Im Sicherheitsprotokoll der Ad-Controller finde ich das Event 4768 "Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert." dazu. Die Client-IP ist die des IGELs.
Wireshark wäre eine option. Erfordert aber die Installation des WinCAP Treibers. Das möchte ich mir vorerst ersparen.
Was heißt s.o.?
Wireshark wäre eine option. Erfordert aber die Installation des WinCAP Treibers. Das möchte ich mir vorerst ersparen.
Was heißt s.o.?
s.o. = siehe oben
Ist denn nun die AD-Anmeldung am IGEL verschlüsselt? Dass die AD-Anmeldung bei einen Windows-AD-Mitglied verschlüsselt ist, ist mir klar, aber wie macht denn der IGEL die Verschlüsselung zu den AD-Controllern?
