Die erste Anmeldung am ADC über die Workspace App funktioniert, aber darauffolgende nicht mehr... Kennwort1 und Kennwort 2 anstatt der passenden Feld-Bezeichnun

Ein altes Thema, aber nicht weniger interessant. Bei der Analyse einer Kundenumgebung wurde folgendes Problem gemeldet:

 

Der Kunde setzt den Browser Zugriff und die Citrix Workspace App (Windows, macOS, iOS,...) ein mit einem Citrix ADC Multifaktor. Das Login Theme wurde angepasst so dass die Felder auf der Anmelde-Seite lauten:

  • Benutzername
  • Kennwort
  • Token-Code

Policies für die Anmeldung sind entsprechend eingerichtet worden, dass erst der Token-Code überprüft wird und dann das LDAP-Kennwort. Ebenfalls die Unterscheidung bei der Verarbeitung ist sichergestellt, ob ein Browser-Zugriff erfolgt oder die Workspace App (Citrix Receiver) verwendet wird. 

 

Der Browser-Zugriff funktioniert auch wie gewünscht, aber bei der Workspace App verhält es sich sonderbar. Die erste Anmeldung erfolgt wie konfiguriert, aber bei einer zweiten Anmeldung sind die Felder in der Reihenfolge vertauscht. Zudem lautet die Bezeichnung wie folgt:

  • Benutzername
  • Kennwort1
  • Kennwort2

Ein Zurücksetzten der Workspace App half bis zur übernächsten Anmeldung!

Klassisch in diesem Fall war die Aussage des Kunden, dass nichts geändert wurde und das Problem nach dem Update vom ADC aufgetreten ist. Darauf hin erfolgte eine tiefergehende Analyse der kompletten ADC Config inkl. Paket Trace. Log-Auswertung, etc. Die Lösung war in dem Fall aber doch an einer anderen Stelle zu finden:

 

 

Die ADC-Config im Storefront war fehlerhaft. Hier wurde hinterlegt, dass der ADC nur eine Anmeldung mittel Domain durchführt. Korrekt muss es aber lauten Domain and Security Token. Dies hatte zur Folge. dass bei der ersten Anmeldung der ADC der Workspace App die passende Anmelde-Maske lieferte. Nach einer erfolgreichen Anmeldung dann aber die Workspace App die Konfiguration des Storefronts erhält und damit die folgenden Anmeldungen durcheinander bringt. 

 

Die Herausforderung war in diesem Fall nicht die Beseitigung des Problems sondern den Blick an die passende Stelle aufgrund der Kundenrückmeldung. Bis heute ist auch ungeklärt wer die Konfiguration auf dem Storefront angepasst hat. 

 

Zur Vollständigkeit hier noch die Stelle an der die Konfiguration am Storefront korrigiert werden muss: