mexx
Goto Top

IGEL Thinclient AD Kerberos Anmeldung verschlüsselt?

Hallo,

wir verwenden die Thinclients von IGEL um die Anwender in eine XenApp Umgebung zu bringen. Dabei nutzen wir auch die AD/Kerberos Anmeldung, welche dann an den Receiver durchgereicht wird.

IGEL Profil und Firmware 5.06.100.01:
- Sicherheit -> Active Directory/Kerberos -> konfiguriert und Domäne 1 beide Domaincontroller hinterlegt
- Citrix XenDesktop / XenApp -> Citrix Storefront / Web Interface -> Anmeldung -> Passthrough-Authentifizierung verwenden aktiviert
- Citrix XenDesktop / XenApp -> HDX / ICA Global -> Lokale Anmeldung -> Kerberos Passthrough-Authentifizierung in allen ICA-Sitzungen verwenden


Das funktioniert alles bestens. Nach der AD-Anmeldung am IGEL werden die Zugangsdaten an den Receiver übergeben. Nun stelle ich mir die Frage ob dieser Vorgang auch verschlüsselt passiert?!

Bedeutet AD/Kerberos-Anmeldung, dass die Zugangsdaten zunächst an die AD-Controller geschickt werden? Wenn ja, woher weiß ich, ob dies verschlüsselt passiert?
Oder bedeutet AD/Kerberos-Anmeldung, dass die eingebenen Zugangsdaten zwar ein AD-Login darstellen, aber nicht direkt an die Domaincontroller geschickt werden, sondern an den Receiver übergeben werden und der kommuniziert verschlüsselt.

Danke für eure Hilfe,
mexx

Content-ID: 294235

Url: https://administrator.de/forum/igel-thinclient-ad-kerberos-anmeldung-verschluesselt-294235.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

emeriks
emeriks 26.01.2016 aktualisiert um 11:43:57 Uhr
Goto Top
Hi,
Dabei nutzen wir auch die AD/Kerberos Anmeldung
Wo? Direkt am Igel?

welche dann an den Receiver durchgereicht wird.
Na wenn sie an den Receiver durchgereicht werden soll, dann muss die doch schon vorher erfolgt sein, und wird nicht erst durch den Receiver erfolgen. Oder? (Deine zweite Frage)

Das funktioniert alles bestens. Nach der AD-Anmeldung am IGEL werden die Zugangsdaten an den Receiver übergeben. Nun stelle ich mir die Frage ob dieser Vorgang auch verschlüsselt passiert?!
Schon mal mit z.B. WireShark mitgeschnitten?

Bedeutet AD/Kerberos-Anmeldung, dass die Zugangsdaten zunächst an die AD-Controller geschickt werden? Wenn ja, woher weiß ich, ob dies verschlüsselt passiert?
Oder bedeutet AD/Kerberos-Anmeldung, dass die eingebenen Zugangsdaten zwar ein AD-Login darstellen, aber nicht direkt an die Domaincontroller geschickt werden, sondern an den Receiver übergeben werden und der kommuniziert verschlüsselt.
s.o.

E.
mexx
mexx 26.01.2016 um 11:47:55 Uhr
Goto Top
Ja, die AD-Anmeldung erfolgt direkt am IGEL. Im Sicherheitsprotokoll der Ad-Controller finde ich das Event 4768 "Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert." dazu. Die Client-IP ist die des IGELs.

Wireshark wäre eine option. Erfordert aber die Installation des WinCAP Treibers. Das möchte ich mir vorerst ersparen.

Was heißt s.o.?
emeriks
emeriks 26.01.2016 um 11:49:40 Uhr
Goto Top
s.o. = siehe oben
mexx
mexx 26.01.2016 um 11:57:59 Uhr
Goto Top
Ist denn nun die AD-Anmeldung am IGEL verschlüsselt? Dass die AD-Anmeldung bei einen Windows-AD-Mitglied verschlüsselt ist, ist mir klar, aber wie macht denn der IGEL die Verschlüsselung zu den AD-Controllern?