Citrix: Web Interface Client Drive Mappings - Serversoftware en clouddiensten

donderdag 23 februari 2006 09:08

Acties:

Wizard

Topicstarter

Ik moet op onze citrix farm voorkomen dat gebruikers die van buiten via de CSG/Web Inerface een verbinding maken de lokale harddisks zien. Op zich appeltje-eitje: De ICA-TCP connectie dichttimmeren of Java Client verplichten en het daarin disablen.

Echter, er is nog een probleem: Management heeft besloten dat....etc. Je kent het wel. Dat maakt een simpele oplossing onmogelijk.

Het komt er op neer dat client die intern verbinding maken met de farm de lokale drives wel gemapt moeten krijgen, terwijl de clients die vanuit het internet komen (en dus untrusted zijn) dat niet krijgen. De ICA-TCP connecties kan ik aanpassen - of extra configureren speciaal voor dit doel (het zijn BL20P's, dus NIC's voldoende). Maar de vraag is of dat gaat werken en als een van jullie dat al voor de bakker heeft weten te krijgen hoe?

Samenvatting van het netwerk: Citrix Farm (MF-XP-FR3 in VLan met GBIT link (1 kabel - 2 NICs leeg) HP BL20P G2 Blades, CSG/WebInterface4.0 op een VMWare doos in de DMZ. Java Client enabled.
Clients in aparte VLAN's (Laptops, Linux based Thinclients, Workstations) hebben intern PN geinstalleerd.
Heeft iemand een ideetje hoe ik dit het beste aan kan pakken.

Assignment rejected by specialist

donderdag 23 februari 2006 09:25

Acties:

Abom

Het enige wat ik kan verzinnen zijn policies in Citrix. Probleem is dat policies alleen aan users of groepen gehangen kunnen worden en niet op source IP.

Misschien kun je een aparte server set aanmaken voor connecties van buiten af en daar dan een aparte policy op plaatsen.

Wij gebruiken PowerFuse, dit heeft wel de mogelijkheid om afhankelijk van client IP adres bepaalde policies/registeries uit te voeren of juist niet.
Verder moet het ook wel mogelijk zijn om aan de hand van een login script de mappings te laten bepalen, maar dan moet je al je mappings verplaatsen van je policies/ICA settings naar een login script.

[ Voor 12% gewijzigd door Abom op 23-02-2006 09:42 ]

donderdag 23 februari 2006 10:55

Acties:

Asteroid9

General Failure

Ik moet het even checken, maar policies kun je geloof ik in 4.0 wel op subnet of IP configureren.
In XP-FR3 inderdaad niet, wij zijn hier net een maand geleden gemigreerd naar 4.0 en zeker op het gebied van policies zijn er knap wat verbeteringen.

Dergelijke migraties zijn nooit de makkelijkste, maar mochten jullie het toch al van plan zijn....

Edit:
Snel even gecontroleerd, in 4.0 kun je inderdaad op client IP, client subnet, clientname, username en destination server of farm policies instellen, voor elk wat wils!
Dat is nog geen pasklare oplossing voor jouw situatie, maar goed.

[ Voor 26% gewijzigd door Asteroid9 op 23-02-2006 10:59 ]

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

donderdag 23 februari 2006 11:28

Acties:

Ulx

Wizard

Topicstarter

Dat het met PS4 kan weet ik. Maar daar heb ik tot het einde van 2006 weinig aan. (Eerst moet Netinstall naar 5.8 zodat we de Citrix module kunnen gebruiken om de machines te installeren. Anders kan ik dat alsnog met de hand gaan doen.)

Esto bummer.

Zou het werken als ik een apart VLAN aanleg, waaraan ik de Citrix dozen met de 2de NIC koppel. En dan de Web Interface zo configureren dat deze alleen op dit VLAN de Metaframe servers zoekt? Want dan kan ik de ICA-TCP connectie voor deze NIC op slot gooien.
Intern heb je dan nog steeds de verbinding met de servers via de andere ICA-TCP connectie.

Of vraag ik nu om moeilijkheden?

Assignment rejected by specialist

donderdag 23 februari 2006 11:51

Acties:

Asteroid9

General Failure

Dat gedeelte zou wel moeten werken, maar hoe wou je dan de client drive mappings uitschakelen voor connecties via die interface?
Ik heb even niet helemaal helder voor ogen hoe je XP FR3 ook al weer in kon stellen, maar die drive mappings kun je toch niet direct met een policy afhandelen?

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

donderdag 23 februari 2006 13:42

Acties:

mutsje

Certified Prutser

Kun je niet e.e.a met load evaluators doen
Ik heb eens gezien dat ze hier 2 specifieke netwerk rangens opgegeven hadden als je daar niet aan voldeed kwam je er gewoon niet op.
Overigens lijkt het me handig dat computers waar jij geen controle over hebt te excluden van drive mapping (denk aan man in the middle attacks, virussen , trojans etc).
Maar het is inderdaad enorm lastig om external users te onderscheiden van internal users. Gelukkig kon ik afdwingen dat drivemapping disabled werd.

Verder zou je alle External Users in een apparte OU kunnen zetten en de local drives hidden / access is denied maken op alle drives.. dan weet je iig zeker dat ze niks kunnen

[ Voor 16% gewijzigd door mutsje op 23-02-2006 13:46 ]

donderdag 23 februari 2006 17:05

Acties:

Spectre75

Je kan dit inderdaad met load evaluators (in Citrix) oplossen.

Onze farm is over diverse locaties verspreid en wij gebruiken die IP load evaluators om te voorkomen dat gebruiker op locatie X applicaties gaat open die ook op locatie Y beschikbaar zijn (er lopen maar dunne lijntjes tussen die locaties)

Dus in principie kan je ervoor zorgen dat alles wat niet aan je interne range voldoet een apart Citrix policy krijgt.

Het is even stoeien met de load evaluators (werken met dubbele negative) maar het moet te doen zijn.

Suc6

donderdag 23 februari 2006 20:01

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Spectre75 schreef op donderdag 23 februari 2006 @ 17:05:
Onze farm is over diverse locaties verspreid en wij gebruiken die IP load evaluators om te voorkomen dat gebruiker op locatie X applicaties gaat open die ook op locatie Y beschikbaar zijn (er lopen maar dunne lijntjes tussen die locaties)

Waarom gebruik je hier geen Farm-zones voor? Middels policy's geef je dan een preferred zone / backup zone aan de clients mee.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 27 februari 2006 15:31

Acties:

Spectre75

MF XP FR3 ondersteund dat toch niet ? Dacht dat het een feature van versie 4 is ?

dinsdag 28 februari 2006 11:17

Acties:

Ulx

Wizard

Topicstarter

Het meeste gaat alleen werken op PS4. Maar goed, evenzeer bedankt.

Ik doe gewoon de Java Client en disable de hele lokale drive mapping mikmak, die paar users die intern wat naar de lokale schijf moeten kopieren die doen dat maar via de homedirectory. Of ze loggen in met de full client.

Voor de elegante oplossing moeten ze maar wachten tot ik PS4 uitgerold heb. Het is niet de moeite om er veel tijd aan te besteden.

Assignment rejected by specialist

dinsdag 28 februari 2006 11:36

Acties:

elevator

Officieel moto fan :)

Je zou ook aan de hand van een batchscriptje en %CLIENTNAME% proberen te determineren of het een WI client is en vervolgend met chgcdm je drives wissen?

dinsdag 28 februari 2006 12:07

Acties:

Verwijderd

Abom schreef op donderdag 23 februari 2006 @ 09:25:
Het enige wat ik kan verzinnen zijn policies in Citrix. Probleem is dat policies alleen aan users of groepen gehangen kunnen worden en niet op source IP.

ik ken citrix niet echt goed, maar een groep met daarin alle interne comps is misschien de oplossing?

dinsdag 28 februari 2006 22:14

Acties:

Verwijderd

Gezien je interne mensen de PN client gebruiken, en het alleen om de externe gaat, donder je toch de optie "CDMAllowed=Off" in je template.ica, of zie ik het te simpel?

woensdag 1 maart 2006 08:44

Acties:

Ulx

Wizard

Topicstarter

Dat is iets waar ik wat aan heb. Alleen is het bij PS4 Web Interface de default.ica waarin ik het moest aanpassen. Maar het werkt prima, zo te zien. Dan hoeven de Muggles ook geen java client te gebruiken. Beter.
De boel dynamisch aanpassen moet dan maar wachten op PS4.

bedankt voor de tip.

[ Voor 3% gewijzigd door Ulx op 01-03-2006 09:00 ]

Assignment rejected by specialist