SAML Authentifizierung zwischen Citrix & Microsoft mit Azure MFA

Als Folge der zunehmenden Projekte gibt es hier ein kleines How To mit den folgenden Punkten:

  • Azure AD Seamless Single Sign-On (PTA / PHS)
  • SAML Authentifizierung (Azure AD als IdP & Citrix Gateway als SP)
  • Citrix Federated Authentication Service (FAS)
  • Microsoft Azure Multi-Factor-Authentication mit Conditional Access

Voraussetzungen

  • Voll funktionsfähige Citrix Virtual Apps and Desktop Umgebung (StoreFront & DDC Version 7.9 mindestens)
  • Citrix ADC mit funktionsfähiger Basiskonfiguration & aktivierter Enterprise oder Platinum Lizenz (Minimum Version 12.1 Build 50+ für native Workspace App & für Browser Zugriff Minimum Version 11.1)
  • Konfigurierter Unified Gateway vServer
  • Interne und externe DNS Einträge für Unified Gateway vServer (z.B. citrix.deyda.net)
  • Zertifikate für DNS Einträge (am einfachsten sind Wildcard-Zertifikate)
  • Bestehender Azure Tenant mit Azure-AD Basiskonfiguration (Domain, AAD Sync) & aktivierter Azure AD Premium-Lizenz
  • Installierte & Konfigurierte AD Connect Version (Minimum Version 1.1.644.0)
  • Firewall Freigabe für *.msappproxy.net auf Port 443
  • Domänen Administrator Zugangsdaten für die Domänen, die sich über Azure Connect mit Azure AD verbinden
  • Installierte Authenticator App auf dem Test User Mobilgerät
„SAML Authentifizierung zwischen Citrix & Microsoft mit Azure MFA“ weiterlesen

ADV190023 – LDAPS aktivieren in Windows DC und Citrix ADC

Wichtige Info:
Die vorgesehene Aktualisierung (ADV190023), bezüglich LDAP Signing und Channel Binding für neue und vorhandene Domänen Controllern, geplant für 10. März 2020 wurde in die zweite Hälfte des Kalenderjahres 2020 verschoben. Mit dem März 2020 Update werden nur zusätzliche Auditing Möglichkeiten geschaffen, um die LDAP Systeme zu identifizieren und zu konfigurieren, bevor diese durch das spätere Update keinen Zugriff mehr erlangen.

Das spätere Update bedeutet, dass keine Verbindungen mehr an den Domänen Controller, über unsigned / Clear Text LDAP auf Port 389 durchgeführt werden können. Dann ist es nur noch möglich, entweder LDAPS über Port 636 oder Signed LDAP (StartTLS) auf Port 389 zu verwenden.

„ADV190023 – LDAPS aktivieren in Windows DC und Citrix ADC“ weiterlesen

Checkliste für Citrix ADC CVE-2019-19781

Citrix hat eine Woche vor Weihnachten eine Warnung über eine kritische Sicherheitslücke (CVE-2019-19781) in allen Citrix ADC & Gateway Systemen veröffentlicht. Seit dem 10.1.2020 wurden mehrere funktionierende Exploits veröffentlicht, die für jeden zugänglich sind.

Wichtig ! Der Fix von Citrix mit der Responder Policy funktioniert nicht bei Systemen mit der Version 12.1.51.16/51.19, 50.31 und älter. Wenn diese Version im Einsatz ist, bitte auf die aktuellste 12.1 Version updaten.

Die Exploits ermöglichen eine anonyme Ausführung von Remotecode und dadurch nicht authentifizierten Angreifern, die verschiedenen Maschinen mit Root Rechten zu übernehmen.

„Checkliste für Citrix ADC CVE-2019-19781“ weiterlesen

Upgrade auf Virtual Apps and Desktops Version 1912 LTSR

Am 18. Dezember 2019 ist Citrix Virtual Apps and Desktops (CVAD) Version 1912 erschienen. Folgend eine kleine Anleitung zum Update auf die neuste Version.

Link zur Citrix Virtual Apps and Desktops Dokumentation

Citrix Virtual Apps and Desktops EOM EOL Matrix
„Upgrade auf Virtual Apps and Desktops Version 1912 LTSR“ weiterlesen

Upgrade von Citrix Virtual Apps and Desktops Current Release

Am 29. September ist Citrix Virtual Apps and Desktops (CVAD) Version 2009 erschienen. Folgend eine kleine Anleitung zum Update auf die neuste Version.

Link zur Citrix Virtual Apps and Desktops Dokumentation

„Upgrade von Citrix Virtual Apps and Desktops Current Release“ weiterlesen