Acerca de...
El equipo
Encuestas
Política de privacidad
WinTablets

Encuesta

¿Cual crees que triunfará?

Ver Resultados

Cargando ... Cargando ...

últimas entradas importantes

Categorías

Archivos

19
Sep 2017
ExperienciasPrácticostrucos

Java, Citrix y Juniper juntos, un colador

Hola.

Esta entrada, poco afectará al común de los mortales, pero lo veo en empresas tanto pequeñas como grandes, cada día más a menudo.

 

Yo siempre he tenido a Citrix y sus entornos como un mal necesario, algo que hay que tener y que normalmente no está fino, que es un colador en si mismo, pero claro, facilita la vida al usuario y, lo que es más importante, para los de IT.

En cuanto al usuario, pues es simple, trabajando en modo cliente nativo o trabajando en cliente Java.

 

Todo esto es muy bonito, y práctico sobre la marcha, mientras funciona.

De hecho, dejó de funcionar el día que el último de los navegadores compatibles con NPAPI dejó de serlo.

Técnicamente no es el último, dado que siempre nos quedará Internet Explorer, al que desde entonces he empezado a verlo con muy buenos ojos.

 

Hoy, Internet Explorer, es un buen navegador.

* Críticas y comentarios, y quizás algún exabrupto, en los comentarios. Gracias.

 

Tal como estaba contando, empecemos por la base:

  • Citrix como tal no se debe exponer al mundo. No es un producto para una DMZ.
  • Citrix necesita una Gateway que securice lo que Citrix no hace. Y tienen sus buenos productos para ello, pero no. Todo el mundo suele buscar soluciones más baratas.
  • Hace bastante tiempo, Juniper resolvió este tema con un juego de Gateway y clientes que en conjunto es muy superior a cualquier solución de otros fabricantes, e incluso superior (en este caso por precio) a los Netscaler físicos o a los NPX.
  • Todo es muy bonito. Todo funciona. Todo es fabuloso, como en la legopelícula. Hasta que un directivo de IT decide ahorrarse unas perrillas y no actualiza alguno de los componentes acorde a la realidad que le rodea.

 

Buena base ¿eh?

El caso es que un aparato de Juniper, con su software que se integra en el Web Interface, en el Presentation Manager, o el más reciente, StoreFront y Desktop Delivery, tiene soporte hasta donde lo tenga contratado el propietario.

  • ¿Y que pasa cuando en un navegador deja de funcionar el plugin nativo?

Pues no pasa absolutamente nada, porque los muy PROs de cualquier IT habrán habilitado el cliente de Juniper, o no.

  • ¿Y que pasa cuando los de IT no han habilitado el cliente de Juniper que, por cierto, suele llamarse Pulse?

Pues tampoco pasa nada de nada, porque al igual que existe un cliente Java de Citrix, existe un cliente Java de Pulse, que se usa como plugin.

  • ¿Pero no habíamos quedado en que los navegadores de hoy en día ya no soportan NPAPI, y consecuentemente, Java plugin?

Pues amigos, siempre nos quedará Internet Explorer *.

* O eso, o las versiones ESR de los otros navegadores.

  • ¿Pero en serio que no hay solución a todo esto?

Claro que la hay, pasando por caja, manteniendo los productos como se debe, correctamente actualizados y al personal de IT correctamente entrenado, instruido y formado.

  • Pido el comodín de «la otra solución», la barata.

 

Por último, solo me queda decir que Oracle, Oráculo del lado oscuro, Ansia de datos, Luz de los DBA, y asesino del SOL, decidió realizar unos ajustes de seguridad adicionales, hace unos meses, (concretamente en abril de este año) sobre una serie de ficheros, parámetros y políticas, que no tienen gran impacto para el común de los mortales, pero hoy no hablamos de usuarios que juegan con fuego, digo, con un jar bajado de fuentes indeterminadas.

 

Pues nada. Vamos a resolver este entuerto, y lo vamos a resolver para Windows porque, por mucho que este año sea el año de Linux en escritorio, pocos sitios hay que usen Citrix de esta manera con Linux.

Lo primero que hay que hacer el localizar es el fichero de políticas de seguridad de Java, java.security, que suele estar ubicado en %ProgramFiles(x86)%\Java\<versión>\lib\security y tiene esta pinta:

Puede estar también en %ProgramFiles%\Java\<versión>\lib\security si es un sistema de 32 bits o estamos trabajando con el entorno de java de 64 bits.

Y claro, hay que editarlo. Con elevación, por favor.

Hay que localizar una línea tal que ponga algo así como:

jdk.jar.disabledAlgorithms

Y claro, hay que tocar, pero sabiendo que se toca, y tocando con cabeza. «Tócala otra vez, Sam».

Serán los manuales de integración de Juniper, o el espabilado de IT de turno, quien determine el tamaño de la RSA keySize que tenemos que modificar, para asegurarnos de no convertir Java en un colador de unsigned o weak scripts…

En este caso, no se siquiera como ese cortafuegos sigue siéndolo, con una integración de RSA1-128…

Guardamos renombrando el fichero antiguo, y grabamos el nuevo, por lo que pueda pasar.

Tras reiniciar (no siempre es necesario, pero yo aconsejo) al menos la sesión de usuario…

Mmmmm. Esto tiene buena pinta. Muy buena pinta vamos, que ya rula.

Y mira por donde, el culpable de que Citrix no rule es precisamente…

Pues ale, a disfrutar de más zumo de limón, que tanto gusta en las altas esferas y tan poco presupuesto destinan a su mantenimiento.

 

Por cierto. Esto se aplica a partir de Java 1.8.0.131 y a todos los navegadores desde enero de 2017, salvo a IE.

 

Hasta la próxima.

Por samquejo | 3 Comentarios | Etiquetas: , , , | Enlaza esta entrada
contacto@wintablet.info tema WinTablet.info por Ángel García (Hal9000)