“Yeeeehaws” für Citrix ADC 12.1 build 51.16

Am 23. Januar 2019 veröffentlichte Citrix Systems einen eigenen Firmeware-Build für seinen ADC.
Da diese neue Softwareversion eine Fülle neuer und interessanter Funktionen enthält, möchte ich hier meine persönlichen Favoriten vorstellen und sie als “Yeeehaws …” bezeichnen.

System

  • Zwei-Faktor-Authentifizierung für den Citrix ADC-Verwaltungszugriff
    Die Citrix ADC-Appliance unterstützt jetzt die Zwei-Faktor-Authentifizierung für erhöhte Sicherheit. Dem Authentifizierungsprozess wurde eine zusätzliche Sicherheitsebene hinzugefügt. Daher wird die Benutzeridentität auf zwei Authentifizierungsebenen überprüft. Nur wenn die Kennwörter auf beiden Authentifizierungsebenen korrekt sind, kann der Benutzer auf die Citrix ADC-Appliance zugreifen. Bisher hat die Appliance im Ein-Faktor-Authentifizierungsprozess den Systembenutzer nur auf einer Authentifizierungsebene authentifiziert.

  • Benutzerdefinierte Attribute werden in OpenID Connect unterstützt
    Eine als IdP konfigurierte Citrix ADC-Appliance kann jetzt mithilfe von Expressions zusätzliche Attribute im OpenID Connect id_token senden. Advanced
    Expressions werden verwendet, um die benutzerdefinierten Attribute gemäß der Anforderung zu senden. Der Citrix-IDP wertet die den Attributen entsprechenden Ausdrücke aus und berechnet dann das endgültige Token mit den resultierenden Werten.
  • Hardware-Token-Unterstützung für natives OTP
    Eine Citrix ADC-Appliance mit Native OTP unterstützt jetzt Hardware-Token sowie Lösungen von Drittanbietern, die den “time-based one-time password” (TOTP) von RFC 6238 entsprechen. Der Citrix ADC verwendet eine Zeitscheibe von 30 Sekunden und einen HMAC-SHA1-Algorithmus.
  • Unterstützung verschlüsselter Token unter OpenID Connect
    Unterstützung für verschlüsselte und signierte Token auf der OpenID Connect Basis für Citrix ADC. Der Open Connect-Mechanismus am ADC unterstützt jetzt das Senden verschlüsselter Token zusammen mit signierten Token. Um das OpenID-Token zu verschlüsseln, benötigt die Citrix ADC-Appliance den öffentlichen Schlüssel der vertrauenden Partei (RP). Der öffentliche Schlüssel wird dynamisch abgerufen, indem der bekannte Konfigurationsendpunkt der vertrauenden Seite abgefragt wird.

Citrix VPN

  • Der AlwaysON-Dienst richtet vor der Anmeldung am Client einen VPN-Tunnel ein Citrix Gateway kann jetzt einen VPN-Tunnel einrichten, noch bevor sich Benutzer bei einem Windows-System anmelden. Diese erweiterte Funktion ermöglicht Folgendes:
  • Windows-Computer werden bereits vor der Anmeldung der Benutzer zu einem Teil des Unternehmens-Intranets. IT-Administratoren können vom Debian-Netzwerk aus auf das Client-Gerät zugreifen.
  • Windows-Computer kann den Anmeldeinformationen des Benutzers mithilfe von Active Directory (AD) des Unternehmens überprüfen. Daher wird das Zwischenspeichern von Windows-Anmeldeinformationen auf dem Computer vermieden, sodass sich neue Unternehmens-AD-Benutzer an demselben Computer anmelden können.
  • Windows-Computer bleibt auch dann mit dem Unternehmensnetzwerk verbunden, wenn sich verschiedene Benutzer anmelden.

Policies

  • API-Unterstützung zum Abrufen der Client- oder Server-IP-Adresse in der Erweiterung
    Die Citrix ADC-Appliance unterstützt jetzt die API-basierte Protokollerweiterung zum Abrufen der Client- oder Server-IP-Adresse in der Erweiterung.
  • String literals für expressions
    Das 255-Byte-Limit für Zeichenfolgenliterale in erweiterten Richtlinienausdrücken wurde entfernt und kann jetzt so lang sein wie der Richtlinienausdruck. Der Ausdruck darf 1499 oder 8191 Byte lang sein. Bisher war das Zeichenfolgenliteral in Anführungszeichen auf 255 Byte begrenzt.

  • Hinzufügen von Millisekunden zum Systemzeitformat
    Erweiterte Richtlinienausdrücke können jetzt ein detailliertes Systemzeitformat in Mikrosekunden oder Millisekunden bereitstellen. Zuvor war das Zeitformat eine vorzeichenlose lange Zahl im Nano-Format. Beispiel: “Fri, 26 Aug 2016 12:22:01: “

SSL

  • Unterstützung für das HSTS preload
    Die Citrix ADC-Appliance unterstützt das Hinzufügen eines HSTS-Preloads im HTTP-Antwortheader. Um das Preload einzuschließen, müssen Sie den Parameter “Preload” im virtuellen SSL-Server oder im SSL-Profil auf YES setzen. Die Appliance fügt das Preload dann in den HTTP-Antwortheader für den Client ein.
  • Unterstützung für Enlightened Data Transport (EDT) bei DTLSv1.0
    as DTLSv1.0-Protokoll wird jetzt mit EDT auf den folgenden Citrix ADC-Appliances unterstützt:

  • – MPX 5900
    – MPX/SDX 8900
    – MPX/SDX 26000-100G
    – MPX/SDX 15000-50G