Die standardmäßige SSL-Konfiguration des Citrix NetScalers hat zwei Tücken, die bei diversen “SSL Test-Tools” zur englischen Schulnote “F” führt. Diese zwei Punkte können wie folgt angepasst werden.

Standard Cipher-Gruppe anpassen
Standardmäßig ist die DEFAULT Ciphergroup für jeden SSL Service aktiviert. Einige Ciphers innerhalb dieser Gruppe gelten mittlerweile als nicht mehr sicher. Daher sollte für produktive Services die Ciphergroup DEFAULT durch HIGH ersetzt werden. Diese bietet deutlich sicherere Verschlüsselungsmechanismen.

Alternativ kann auch die Ciphergroup DEFAULT komplett angepasst werden, womit nicht jedes mal die Ciphergroup bei einem neuen Service angefasst werden muss.

Standard SSL Renegotiation Verhalten anpassen

set ssl parameter -denySSLReneg NONSECURE

Siehe CTX-Artikel hierzu http://support.citrix.com/article/CTX123680

Prüfung von einem SSL Test-Tool durchführen
z.B. Qualys SSL Labs (https://www.ssllabs.com/ssltest/)

Ein Bug, in den wir gelaufen sind. Der Citrix Receiver hat Probleme mit dem Zertifikaten, die mit SHA256 signiert sind. Trotz eingepflegtem Root- und Intermediate-Zertifikat ist keine Verbindung zu den freigegebenen Ressourcen möglich. Das Zertifikat wird im Browser aber als gültig erkannt. Folgender Fehler taucht auf (auf iOS-Geräten hatte ich jedoch überhaupt keinen Eintrag in den Logfiles!).

SSL Error 61 : You have not chosen to trust the issuer of the server's security certificate.

Das Problem scheint bei folgenden Receivern aufzutreten.

• Receiver for iOS
• Receiver for Linux
• Teils auch Receiver for Anroid

Unter Windows Systemen konnten wir das ganze nicht nachvollziehen. Support für SHA256 ist für iOS im Q2/2014 angekündigt. Zum heutigen Tag ist jedoch noch kein Update erschienen. Als momentane Lösung bleibt nur ein Zertifikat mit SHA1 zu verwenden.

Siehe auch http://citrixtroubleshootingsteps.blogspot.de/2014/04/ssl-error-61-you-have-not-chosen-to.html und http://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/citrix-receiver-feature-matrix.pdf.

Receiver 5.9 for iOS im AppStore

Neben dem Support von SHA2 wird nun auch iOS 7.1 offiziell supported. Eine weitere Neuerung ist die Unterstützung von SmartCards auf iPad Devices.

Neue Funktionen von Version 5.9
iOS 7.1 support
SHA2 Certificate support
Support for single FQDN access implementation
Local proxy support
Receiver now offers smartcard support. The following products and configurations are supported
- Supported readers:
- Precise Biometrics Tactivo for iPad Mini
- Precise Biometrics Tactivo for iPad (4th generation) and Tactivo for iPad (3rd generation) and iPad 2
- Thursby TSS-PK7 and PK8 Smart Card Readers
- Supported smartcards:
- PIV cards
- Common Access Card (CAC)
- Supported configurations:
- Smartcard authentication to NetScaler Gateway with StoreFront 2.x and XenDesktop 5.6 and above or XenApp 6.5 and above.

Bei der Citrix XenMobile MTC (Abkürzung für “Multi-Tentant Console”) handelt es sich um ein XenMobile Deployment-Tool, mit dem man XenMobile DeviceManager (XDM) Instanzen automatisiert ausrollen und mit mehreren Tentants austatten kann.

Um das Deployment der MTC etwas zu erleichtern, habe ich mir erlaubt ein kleines Script zu schreiben. Mit diesem Script ist es nicht länger nötig das Google Web Toolkit, GWT und die Sysinternals nur zum starten des Deployments der MTC extra im Windows Environment bzw. $PATH zu haben. Das Script setzt das korrekte Environment und startet die zdm_mtc.bat.

:: Deployment Script for XenMobile MTC
:: @author: Simon Lauger <simon@lauger.name>
:: @date:   20.08.2014
::
:: Example of C:\xenmobile
:: ##############################################################
:: 18.08.2014  12:47    <DIR>          .
:: 18.08.2014  12:47    <DIR>          ..
:: 18.08.2014  12:21    <DIR>          grails-1.3.7
:: 18.08.2014  12:21    <DIR>          gwt-windows-1.5.3
:: 18.08.2014  11:37    <DIR>          SysinternalsSuite
:: 18.08.2014  12:23    <DIR>          XenMobile_MTC-9.0.0.35278
:: ##############################################################
:: 
@echo off

:: Setting grails and gwt environment 
SET GWT_HOME=C:\xenmobile\gwt-windows-1.5.3
SET GRAILS_HOME=C:\xenmobile\grails-1.3.7
SET SYSINTERNALS=C:\xenmobile\SysinternalsSuite

:: Specify JAVA_HOME (change, if needed)
SET JAVA_HOME=C:\Program Files\Java\jdk1.7.0_67

:: Include Java and sysinternals in %PATH%
SET PATH=%PATH%;%JAVA_HOME%\bin;%SYSINTERNALS%

:: Change directory 
cd C:\xenmobile\XenMobile_MTC*

:: Start Deployment
zdm_mtc.bat

Für die MTC werden folgende Tools/Pakete benötigt (die Versionen sind zu beachten). Sämtliche Tools sind herunterzuladen und zusammen mit dem Script im Ordner C:\xenmobile zu entpacken.

• JDK Version 7x mit der JCE
• grails-1.3.7
• gwt-windows-1.5.3
• SysinternalsSuite
• Die XenMobile MTC selbst

Aus den Sysinternals werden grundsätzlich nur psexec.exe und psservice.exe benötigt, jedoch sollte es keine Schmerzen bereiten das komplette Archiv herunterzuladen. Achtung: hier unbedingt vorher Lizenz/EULA aktzeptieren (dazu die Files manuell einmalig öffnen)!

Die MTC wird von Citrix leider etwas “stiefmütterlich” behandelt. Bis gestern gab es in der Download Sektion für XenMobile 9.0 keinen Download für den “Device Manager for Multi-Tentant”. Erst nachdem ich im Citrix Forum einen Topic eröffnet hatte wurde der Download nun nachgereicht. Beim “Device Manager for Multi-Tentant” handelt es sich u nahezu die identische Installationsroutine wie für den “normalen” XenMobile DeviceManager. Einzger Unterschied: es wird ein leerer Tomcat, ohne mitgelieferte XDM Instanz (Deployment-File/War-File) installiert.

Ein Deploymentversuch unter dem aktuellen Java 8x JDK brach bei mir im übrigen mit diversen Exceptions (u.a. ClassNotFoundException) ab und scheint derzeit wohl nicht möglich zu sein. Eine Info hierzu seitens Citrix konnte ich nicht finden.

Nachfolgend ein kurzes Cheat-Sheet, um für Webseiten, die auf bzw. hinter einem Citrix NetScaler gehostet sind beim SSL Test von Qualys für seine Webseite ein A+ zu erhalten. Dank NetScaler Version 11 ist dies nun endlich auch für die virtuellen VPX Appliances möglich.

Zunächst benötigt man eine eigene Ciphergruppe, die den Secrurity Standard etwas höher setzt, als die von Haus aus mitgelieferten Gruppen. Für MPX und SDX Appliances kann für den zu konfigurierenden vServer folgende Cipher Group verwendet werden.

add ssl cipher cipher_secure_default
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
bind ssl cipher cipher_secure_default -cipherName TLS1-ECDHE-RSA-AES256-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-ECDHE-RSA-AES128-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384
bind ssl cipher cipher_secure_default -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256
bind ssl cipher cipher_secure_default -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName SSL3-DES-CBC3-SHA

Für die NetScaler VPX kann folgendes Set benutzt werden (hier werden aktuell nicht alle Ciphers unterstützt).

add ssl cipher cipher_secure_default_vpx
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-ECDHE-RSA-AES256-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-ECDHE-RSA-AES128-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName SSL3-DES-CBC3-SHA

Zusätzlich benötigt man noch eine Rewrite Policy, um den HTTP STS Header in die Server Response einzufügen. Diese Policy kann entweder global oder für jeden vServer gebunden werden.

add rewrite action act_rewrite_inject_http_sts_header insert_http_header Strict-Transport-Security "\"max-age=31536000\""
add rewrite policy pol_rewrite_inject_http_sts_header true act_rewrite_inject_http_sts_header

Final sollte SSLv3 global oder lokal mittels SSL Profile deaktiviert werden.

add ssl profile prof_ssl_default -sessReuse ENABLED -sessTimeout 120 -ssl3 DISABLED

Mit dem NetScaler Gateway im SmartAccess/Portal Modus gibt ab Version 11 die Möglichkeit für jede Applikation ein Icon für den Link zur Applikation/Ressource zu hinterlegen. Hierzu kann man über Ressources -> Bookmarks in der NetScaler GUI für jede Applikation ein Logo hochladen.

Leider gibt es einen Bug im NetScaler, der trotz Ausnahme in den „Domains for Clientless Access“ dazu führt das für jedes Icon ein CVPN Rewrite der URL durchgeführt wird.

So wird aus der eigentlich richtigen URL für die Grafik, z.B.

http://gateway.domain.de/logon/icons/Applikation.png

über den Rewrite die folgende CVPN URL

http://gateway.domain.de/http/gateway.domain.de/logon/icons/Applikation.png

Grundsätzlich wäre das kein Problem, allerdings wird der Rewrite auf die eigene Adresse mit HTTP statt HTTPS durchgeführt. Gibt es keine Umleitung von Port 80 zu Port 443 scheitert der Browser Request zum Icon mit einem „Request Timeout“. Die Folge ist natürlich das keines der eingerichteten Icons angezeigt werden kann.

Für das NetScaler Gateway ist kein zusätzlicher Listener auf Port 80 der VIP nötig, auf dem das Gateway konfiguriert ist (auch wenn es die Usability meiner Meinung nach deutlich erhöht und somit bei jedem Setup Pflicht sein sollte). Um diesen Bug zu umgehen ist es jedoch notwendig eine saubere Umleitung, inkl. dem HTTP Path und Query auf SSL einzurichten.

Am einfachsten kann dies über einen „leeren“ Content Switch mit einer Responder Policy realisiert werden. Ein CS vServer ist immer „UP“ und benötigt keinen aktiven Service um Content auszuliefern.

add responder action act_responder_redirect_generic redirect "\"https://\" + HTTP.REQ.HOSTNAME + HTTP.REQ.URL.PATH_AND_QUERY" -responseStatusCode 302
add responder policy pol_responder_redirect_generic true act_responder_redirect_generic

add cs vserver vs_ssl_redirect HTTP 192.168.100.100 80 -cltTimeout 180
bind cs vserver vs_ssl_redirect -policyName pol_responder_redirect_generic -priority 100 -gotoPriorityExpression END -type REQUEST

Für die beste Darstellung im Standard X1 Theme empfiehlt sich im übrigen eine Auflösung der Logos von 70x70px.

Mein NetScaler Nagios Plugin (auf Perl Basis) steht nun auf GitHub zum Download zur Verfügung. Dokumentation und einige Beispiele für die Verwendung finden sich direkt auf der GitHub Seite.

https://github.com/slauger/check_netscaler

Das Plugin arbeitet komplett über die NITRO REST API des Citrix NetScalers. Keine SNMP Verbindung. Über die API kann nahezu jeder Status innerhalb des NetScalers abgefragt werden.

NetScaler::VPNvServer::State
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_vserver -I vpnvserver

NetScaler::LBvServer::State
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot-C check_vserver -I lbvserver

NetScaler::System::Memory
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_threshold_above -I system -F memusagepcnt -w 75 -c 80

NetScaler::System::CPU
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_threshold_above -I system -F cpuusagepcnt -w 75 -c 80

NetScaler::System::CPU::MGMT
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_threshold_above -I system -F mgmtcpuusagepcnt -w 75 -c 80

NetScaler::System::Disk0
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_threshold_above -I system -F disk0perusage -w 75 -c 80

NetScaler::System::Disk1
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_threshold_above -I system -F disk1perusage -w 75 -c 80

NetScaler::HA::Status
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_string_not -I hanode -F hacurstatus -w YES -c YES

NetScaler::HA::State
./check_netscaler.pl -H  192.168.100.100 -U nsroot -P nsroot -C check_string_not -I hanode -F hacurstate -w UP -c UP

Auf der Agenda stehen noch Support für Performance Daten (für das Graphing) und ein Patch für den SSL Support der Nitro.pm von Citrix.

Ich habe gestern einen sehr interessanten Beitrag zum Thema Storefront und cURL gefunden (Login to Storefront with cURL). In diesem Blog ist beschrieben wie man mittels PowerShell den Login auf einem NetScaler Gateway durchführen kann um sich ein funktionierendes ICA File herunterladen zu können.

Auf dieser Basis habe ich mich mal an die Arbeit gemacht und das ganze in Perl und LWP übersetzt. Entstanden ist ein weiteres, kleines Nagios Plugin zur Überwachung eines Citrix NetScaler Gateway Deployments in Verbindung mit

-bash# ./check_netscaler_gateway.pl -H citrix.example.com -u monitoring -p password -S Lab -v
** POST https://citrix.example.com/cgi/login ==> 302 Object Moved
** POST https://citrix.example.com/cgi/setclient?wica ==> 200 OK
** POST https://citrix.example.com/Citrix/LabWeb/Home/Configuration ==> 200 OK
** POST https://citrix.example.com/Citrix/LabWeb/Authentication/GetAuthMethods ==> 200 OK
** POST https://citrix.example.com/Citrix/LabWeb/GatewayAuth/Login ==> 200 OK
** POST https://citrix.example.com/Citrix/LabWeb/Resources/List ==> 200 OK
** GET https://citrix.example.com/cgi/logout ==> 200 OK
NetScaler Gateway OK - Admin Desktop; CAD Desktop; Calculator; HDX Desktop; HDX TS Desktop; Server 2016 Desktop; Windows 8 Desktop; XA 2012 Desktop;

Das Plugin emuliert den kompletten Login Prozess eines Users von NetScaler Gateway über SSO zum Storefront bis hin zum Auflisten der Applikationen. Der Code steht auf GitHub bereit.

Im Fehlerfall lässt sich mittels –verbose Parameter direkt feststellen an welcher Stelle es Probleme gibt.

SMS Passcode ist eine Software für die 2-Faktor-Authentifizierung. Sie generiert OTPs die dem User auf verschiedenen Wegen zugestellt werden können, z.B. via Software Token App auf dem Handy, E-Mail, Telefonanruf, API, oder eben SMS. SMS Passcode setzt dabei auf den Network Policy Server (den RADIUS Dienst von Microsoft) auf. SMS Passcode lässt sich durch die RADIUS Architektur sehr einfach an jeden RADIUS kompatiblen Dienst anbinden, u.a. an den Citrix NetScaler.

SMS Passcode kann Passwörter bzw. User Accounts mit „Windows NT“ über das Active Directory (via Computer Account in der Domäne) oder LDAP (via LDAP Bind) auflösen. Auch im LDAP Mode ist aber trotz richtiger Konfiguration auch immer der Login via sAMAccountName möglich, selbst wenn der sAMAccountName explizit nicht als Benutzername angegeben oder importiert wird.

Problematisch ist dies in Multi-Domain-Setups, in denen ausschließlich mit einem Login mit dem userPrincipalName gerechnet wird, etwa wenn Citrix StoreFront ohne Default Domains betrieben wird. Hier funktioniert nur der Login mit dem Domänenprefix (DOMAIN\username) bzw. dem userPrincipalName (user@domain.local).

Falls User aus der Gewohnheit heraus den Login mittels sAMAccountName versuchen klappt dieser zwar, das NetScaler Gateway kennt jedoch die für das SSO nötige Domain des Users nicht. Die Folge ist eine „Permission Denied“ Fehlermeldung von Storefront nach erfolgreicher Authentifizierung.

Es gibt jedoch eine einfache Möglichkeit Loginversuche via SAM auf der Windows NPS Ebene zu unterbinden, um Benutzer nicht in dieses Problem laufen zu lassen.

In der Connection Request Policy im NPS kann eine Condition für den Usernamen konfiguriert werden. Hier sind auch Regular Expressions supported.

# Regular Expression für den userPrincipalName
^.*\@.*$

Mit dieser Condition wird geprüft ob der Username mindestens ein @-Zeichen enthält. Falls nicht, greift die Policy nicht. Gibt es keine andere machende Policy, schlägt der Login komplett fehl.

In gewissen Konstellationen kommt es bei NetScaler Gateway Deployments trotz korrekter Konfiguration dazu das Requests an Storefront mit dem externen DNS-Namen des NetScaler Gateways an Storefront weitergeleitet werden.

Dabei scheint es sich um einen Bug im Build 11.1-51.21 zu handeln. Der Bug kommt jedoch nur dann zum Vorschein wenn im UserAgent „CitrixReceiver“ vorkommt. Dabei ist es irrelevant wie die Session Policies konfiguriert sind, daher vermute ich eine defekte Clienterkennung innerhalb des NetScalers.

Das ganze lässt sich nachvollziehen indem man z.B. mein NetScaler Nagios Plugin um einen UserAgent erweitert. Wie genau dieser lautet ist egal, solange irgendwo im String „CitrixReceiver“ vorkommt.

$lwp->agent("CitrixReceiver/MyTestClient");

Das Resultat in einem Test Setup mit einer Sophos UTM als Loadbalancing sieht folgendermaßen aus.

root@web01:/opt/check_netscaler_gateway
-bash# ./check_netscaler_gateway.pl -H gateway.linux-dev.ext -u username -p password -v
** POST https://gateway.linux-dev.ext/cgi/login ==> 302 Object Moved
** POST https://gateway.linux-dev.ext/cgi/setclient?wica ==> 200 OK
** POST https://gateway.linux-dev.ext/Citrix/StoreWeb/Home/Configuration ==> 403 Forbidden
NetScaler Gateway CRITICAL - request to https://gateway.linux-dev.extCitrix/StoreWeb/Home/Configuration failed with HTTP 403

Der „fehlerhafte“ Request wird von der Sophos UTM als möglicher Angriffsversuch erkannt und geblockt. Das ganze könnte jedoch auch bei anderen Loadbalancern oder einem Setup mit aktiviertem SNI auftreten.

Als Workaround kann eine Rewrite Policy genutzt werden, die den Host-Header mit dem internen DNS-Namen ersetzt (z.B. storefront.linux-dev.local).

add rewrite action act_rewrite_hostname replace HTTP.REQ.HOSTNAME "storefront.linux-dev.local"
add rewrite policy pol_rewrite_hostname true act_rewrite_hostname
bind vpn vserver vs_vpn_citrix -policy pol_rewrite_hostname -priority 100 -gotoPriorityExpression END -type REQUEST

Diese Policy ersetzt den Header bei jedem HTTP-Request in das Backend mit dem korrekten Namen. Diese Policy funktioniert so nur in „ICA Only“ Deployments. Für Setups mit Smartaccess (Clientless VPN) sind weitere Anpassungen notwendig.

Ich hatte diese Woche einen Kunden der sein bestehendes NetScaler Gateway Deployment mit einer zusätzlichen Active Directory Domain ausgestattet haben wollte. Bisher lief die Authentifizierung via LDAP (Primary) und RADIUS (Secondary) via SMS Passcode.

Um die Policies zu entschlacken und etwas Komplexität aus dem Setup zu nehmen haben wir das ganze auf RADIUS only (via SMS Passcode) umgestellt. Dadurch muss beim späteren hinzufügen einer weiteren Domain keine weitere LDAP Policy hinzugefügt werden. Der RADIUS bzw. SMS Passcode ist an mehreren Domänen angebunden und übernimmt zudem noch die Password Validation.

Problematisch war jedoch das der Login mit sAMAccountName weiterhin möglich sein sollte. SMS Passcode (bzw. der Windows NPS) akzeptiert zwar den Login sowohl via sAMAccountName als auch via UserPrincipalName, auf dem NetScaler kann dann aber nicht mehr zugeordnet werden in welcher Domäne der Benutzer zugeordnet wurde. In der RADIUS Antwort des NPS ist die Domain des Users nicht enthalten. Auch gibt es sonst keine Möglichkeit ohne ein zusätzlich Group Extraction via LDAP an die Domain des Users zu kommen.

Bei einem NetScaler Gateway SSO zu Citrix Storefront wird die Domäne jedoch immer benötigt. Andernfalls bedeutet funktioniert zwar der Login am NetScaler selbst, der „NetScaler Gateway SSO“ an Storefront schlägt aber fehlt und es erscheint ein weiteres Login Prompt (bei dem im Regelfall aber kein manueller Login möglich ist).

Eine einfache Lösung sind an dieser Stelle Traffic Policies, mit denen man auch die Möglichkeit hat einen Rewrite des Benutzernamens auszuführen. Diese werden bei jedem Request (und damit nach der Authentifizierung) evaluiert. Via Conditions können diese sogar auf bestimmte URLs/Pfade (z.B. /Citrix/Store) beschränkt werden.

Die Standard SSO Domain in der Session Policy bleibt leer. Stattdessen legt man für jede Kundendomain eine eigene Traffic Policy an.

# SSO Traffic Policies
add vpn trafficAction prof_traffic_tentant1_sso_domain http -SSO ON -userExpression "HTTP.REQ.USER.LOGIN_NAME + \"@tentant1.local\""
add vpn trafficAction prof_traffic_tentant2_sso_domain http -SSO ON -userExpression "HTTP.REQ.USER.LOGIN_NAME + \"@tentant2.local\""
add vpn trafficPolicy pol_traffic_tentant1_sso_domain ns_true prof_traffic_tentant1_sso_domain
add vpn trafficPolicy pol_traffic_tentant2_sso_domain ns_true prof_traffic_tentant2_sso_domain

Diese Traffic Policies können nun an Gruppen aus dem Active Directory gebunden werden. Wichtig ist lediglich das man eine Gruppe verwendet die eindeutig ist und in dieser Schreibweise nur in einer Domain vorhanden ist.

# Bind Traffic Policies to AAA Groups
bind aaa group Tentant1_Users -policy pol_traffic_tentant1_sso_domain -priority 100
bind aaa group Tentant2_Users -policy pol_traffic_tentant2_sso_domain -priority 200

Optional bietet es sich noch an den Rewrite des Benutzernamens nur dann durchzuführen, wenn nicht bereits ein „\“ (TENTANT\user1) oder ein „@“ (user1@tentant.local) enthalten ist.

Dieses Problem besteht lediglich in Szenarien in denen ausschließlich via RADIUS authentifiziert wird. Bei LDAP gibt es die Möglichkeit das SSO Feld unabhängig vom Login Feld anzupassen (z.B. dann eben auf den UserPrincipalName).

Derzeit sind bei Citrix alle Firmware Downloads für den Citrix NetScaler Offline geschaltet. Hintergrund ist eine größere Sicherheitslücke, über die derzeit noch nicht viel bekannt ist.
Citrix hat bereits den Artikel CTX227893 veröffentlicht und alle Kunden via E-Mail informiert.

Due to an issue found in the builds, NetScaler 10.1, 10.5, 11.0, 11.1 and 12.0 builds are not available for download temporarily. Currently, we are testing replacement builds, which we expect to release in the coming days.

In the meantime, our guidance is to make sure your NetScaler is configured following our best practices guides found at https://support.citrix.com/article/CTX121149 and https://docs.citrix.com/content/dam/docs/en-us/netscaler/media/secure-deployment-guide/NetScaler-Secure-Deployment-Guide.pdf.

Aus dem Artikel lässt sich entnehmen das die Lücke wohl nur ausgenutzt werden kann wenn Zugriff auf eine NSIP oder SNIP (dann mit aktiviertem Management) besteht.

Betroffen sind alle bisher veröffentlichten NetScaler Versionen ab Version 10.1. Der Patch für die Lücke sollte hoffentlich noch in dieser Woche erscheinen.

Update vom 25.09.2017: der CTX-Artikel CTX227928 wurde veröffentlicht. Es handelt sich um ein Sicherheitsproblem, das einen Authentication Bypass auf das NetScaler Management ermöglicht (CVE-2017-14602).