Citrix ADC und RDP via HTML5 geht nicht? Geht doch! Selbst mit PreAuthentifizierung!

von Ricardo Holdorf
08. Dezember 2022
3 Minuten zu lesen
Autor
Ricardo Holdorf
Ehrliches Miteinander und Füreinander. Wo andere scheitern fange ich an. Denn: Es gibt kein unlösbares Szenario.
Zum Experten Profil
Teilen:
Kategorien:
  • Modern Workplace

In den zurückliegenden Monaten wurde sehr viel über die zunehmende Bedeutung von Remote-Arbeitsplätzen geschrieben. Viel zu wenig jedoch über die unzähligen technischen Herausforderungen, die IT-Verantwortliche in dieser Zeit meistern mussten. Höchste Zeit, das zu ändern.

Ein konkretes Beispiel für große Herausforderungen waren und sind etwa smarte Lösungsansätze, um der Endgeräteunabhängigkeit im Citrix-Umfeld gerecht zu werden – ohne Kompromisse hinsichtlich der IT-Sicherheit eingehen zu müssen. Gerade auf privaten Endgeräten ist immer wieder das Thema Client-Rollout ein Thema.

Eine smarte Lösung dafür: Citrix ADC und RDP via HTML5 umsetzen. Geht mit dem RDP leider nicht, werden einige jetzt anmerken – und haben sogar recht damit. Eigentlich. Denn es gibt einen Weg, wie die Browserlösung trotz RDP realisiert werden kann. Ich zeige, wie er aussieht und wie er sich selbst mit höchsten Sicherheitsanforderungen umsetzen lässt.

So müssen Sie vorgehen

Die Ausganssituation:

Im Zuge der Corona-Pandemie kam ein Kunde mit einer vermeintlich einfachen Anforderung auf mich zu: „Möglichst einfach und sicher von zuhause arbeiten, im Browser, mit Zugriff auf alle wichtigen Anwendungen, ohne dass am Client etwas verändert werden muss.“ Heißt: Es sollte möglichst ein Unified Gateway mit einer RDP HTML5-Lösung werden. Das ganze am besten mit Single Sign On, Multi Faktor Authentifizierung und allem, was heute als das „Minimum“ an Sicherheitsstandards definiert wird.

Die Voraussetzungen:

Sobald wir von Vorauthentifizierung im ADC/Netscaler-Bereich sprechen, wird natürlich eine Advanced-Lizenz benötigt.

Die Alternativen, die keine echten Alternativen sind:

Da eine Browserlösung via HTML 5 eigentlich nicht möglich ist, liegt es natürlich erstmal nah, an Alternativen zu überlegen. Doch am Ende waren sie keine echte Option. Einerseits könnte man zwar ein RDP-Gateway bereitstellen, das zum gewissen Teil ,,gehärtet“ werden kann. Aber abgesehen davon, dass es wahrscheinlich zu anspruchsvoll für den Endanwender ist, ist diese Option auch viel zu unsicher. Denn: Wusstet Ihr, dass wenn ich die RDP-Datei, die ich vom Gateway heruntergeladen habe, editiere, Funktionen wie Clipboard, Audio etc. vom User wieder aktiviert werden können?! Andererseits wäre da noch die Möglichkeit gewesen, Guacamole als HTML 5 RDP zu nutzen. Doch auch das war keine gute Lösung. Der einfache Grund: SSO vom ADC zur Backendlösung sollte eine Grundvoraussetzung sein.

Die Lösung:

Nach längerer Recherche im Netz bin ich auf die Lösung von RemoteSPARK gestoßen.

Diese bieten eine einfache Lösung, die durch HTML-Dateien fertige Bookmarks im UAG hinterlegen und so verschiedene Umgebungen mit verschiedenen Parametern zur Verfügung zu stellen. Ebenfalls schaffe ich via Basic-Auth ein SSO vom UAG zum Terminalserver und/oder Client. Als Highlight kommt natürlich hinzu, dass der Logoff vom UAG auch die Terminalserver-Sitzung trennt.

https://www.remotespark.com/html5.html

Gut zu wissen:

In der free Version sind zwei Concurrent HTML 5-Sitzungen möglich.