Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2213 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ADD SSO with Citrix Terminalserver

tomtomtom
Hello,

I´am looking for someone who has experience with AD SSO in conjunction with a Terminalsession via Citrix.

We have the following problem:

Until we used Windows 2003 Active Directoy users could connect to the web proxy via IE which comes from Citrix Terminalserver. We saw the users with their own IP address from client. Each user could authenticate itself with AD SSO.

Now with Windows 2008 AD and a newer Citrix version the users come to the web proxy with the ip-adress from the terminalserver. So the AD SSO can not work. The first user who comes to the proxy can do the AD SSO login but all the other users after the first will go to the proxy with the credentials from the first user.

It is like a masquerading. The ip-address from the clients will be masqueraded with the ip-address from termnalserver.

Does anybody use such a construct (I don´t like, but the customer)?

We got the hint from Astaro that Win2k8 doesn´t use NTLM auth, it uses now Kerberos. Maybe that´s why we have that trouble.


This thread was automatically locked due to age.
  • 0
    To use Kerberos, configure to NOT use a numeric IP in the Proxy Settings of the browser - instead, use an FQDN that resolves to the Astaro's internal IP. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    To use Kerberos, configure to NOT use a numeric IP in the Proxy Settings of the browser - instead, use an FQDN that resolves to the Astaro's internal IP. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.

    This is what we did and the Astaro hostname is one from the internal domain, e.g. asg.domain.loc

    Tell me what the FQDN and kerberos has to do with the "masquerading" of the users IP?
  • 0
    I suspect this problem has to do with how you have Citrix and your AD configured.  Although it deals more with Windows Terminalserver, the following thread with mrainey's experience might be helpful: https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45106

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner