Terminalserverumgebungen
Der Terminalserver ist eine Software, die in einem Netzwerk auf einem zentralen Rechner (Host) installiert ist und Applikationen über das Netzwerk mehreren Clients zur Verfügung stellt. Der Client erhält vom Terminalserver grafische Information und stellt diese dem Benutzer dar. Die Applikationen selbst ist auf dem Terminalserver installiert. Der Start der Applikationen erfolgt z.B. über einen Browser in Verbindung mit einem lokal installierten Client (z.B. Citrix-Client). Alle Nutzer bzw. Profilinformationen werden zentral auf dem Server abgelegt. Der Zugriff auf das lokale Dateisystem für im Terminalserver laufende Anwendungen ist nach Ermessen des Administrators möglich.
1. Unterstüzte Terminalserverumgebungen
Die beA Client-Security unterstützt die folgende Kombination aus Terminalserver, Serverbetriebssystem und Clientbetriebssystem:
- Client-Betriebssystem: Windows
- Server-Betriebssystem: Windows Server 2016
- Terminalserver: Citrix Virtual Apps 1.8.11
Citrix Virtual Apps ist eine Virtualisierungslösung der Firma Citrix. Die Software setzt auf der Terminal Server-Funktionalität der Microsoft Windows-Serverbetriebssysteme auf und ermöglicht so die Nutzung zentral bereitgestellter Applikationen mit verschiedensten Endgeräten (Terminals), die nur die Benutzerschnittstelle darstellen müssen.
Die Verwendung von lokalen (Terminalclient-seitig gespeicherten) Dateien ist mit Ausnahme von Kartenlesertreibern nicht vorgesehen. Es wird nur die Nutzung von an den Client angeschlossenen Chipkartenlesern aus einer Terminal Session unterstützt.
2. Interne Kommunikation
Während bei der Endgeräte-Installation der Port 9998 verwendet wird, ist für den Terminalserver eine variable Nutzung von Ports notwendig, damit zwischen mehreren gleichzeitig tätigen Benutzer keine Konflikte auftreten. Damit die Client-Security Instanzen nicht kollidieren muss der Port für die Kommunikation mit dem Browser (WebSocket-Verbindung Default Port 9998) dynamisch pro Instanz vergeben werden. Beim Starten sucht die Client-Security einen freien Port, verwendet diesen und übergibt die Portnummer dem Browser zum Start der beA-Anwendung.
Die folgende Abbildung zeigt die Kommunikation der Client-Security in der Terminalserver Konfiguration.
Beim Einsatz von Terminal Server wird die Anmeldung an beA von der Client-Security aus initiiert. Die Client- Security sucht sich beim Start einen freien Port und teilt diesen der beA-Web-Anwendung mit. Die Reihenfolge der Aufrufe ist in Abbildung 2 illustriert.
Der Start der beA-Anwendung erfolgt über den Aufruf der beA-Startseite unter Angabe einer Portnummer über einen neuen Menüpunkt in der Client Security. Da lediglich eine URL aufgerufen würde, startet der beim Benutzer eingestellte Standardbrowser. Andere Browser könnten nur verwendet werden, wenn der Standardbrowser geändert würde.
Über die Eingabe der URL bzw. den Eintrag als Favoriten kann die beA-Funktion nicht gestartet werden, da dadurch die „Ermittlung“ eines freien Ports umgangen würde.
3. Installieren auf einer Terminalserverumgebung
Wichtiger Hinweis: Stellen Sie bitte sicher, dass keiner Ihrer Benutzer die Client Security aktuell nutzt, bevor Sie die Installation auf einer Terminalserverumgebung starten. Die Client Security muss vorher durch alle Ihre Benutzer beendet werden.
Die Bereitstellung der Software erfolgt einheitlich für die lokale Nutzung sowie die Nutzung in einer Terminalserverumgebung. Die Links zum Download der beA Client-Security finden Sie auf der Startseite unter https://www.bea-brak.de unter Client Security Downloads. Wählen Sie den betreffenden Link für Ihr jeweiliges Betriebssystem aus.
Für den Betrieb in Terminalserverumgebungen muss die beA Client-Security für Windows durch den Administrator des Terminalservers heruntergeladen und die Installation auf dem Server ausgeführt werden. Damit steht sie allen im System angeschlossenen Benutzern zur Verfügung. Updates der Basiskomponente der Client-Security müssen ebenfalls durch den Administrator vorgenommen werden, siehe unten.
Hinweis: Als Administrator dürfen Sie nur die Installation oder ein Update der Basiskomponente der Client-Security ausführen, aber nicht die Anwendung starten! Die einzelnen Schritte der Installation und die Installationsergebnisse werden in den oben angegeben Links näher beschrieben. Der Start der Anwendung darf ausschließlich durch die lokalen Benutzer erfolgen, das bedeutet als Adminstrator dürfen Sie NICHT den automatatischen Start nach der Installtion oder nach dem Starten des PCs während der Installation ausgewählen, siehe hierfür A und B im Abschlussdialog in Client Security herunterladen und installieren.
Voraussetzungen:
- Die für die Nutzung eines Chipkartenlesers erforderlichen Treiber müssen auf dem Anwenderrechner installiert sein, nicht auf dem Terminalserver.
- Das notwendige Java JDK bringt das Installationsprogramm der beA Client-Security mit. Dieses muss nicht auf dem Server installiert sein.
- Wenn Sie Firefox auf einem Terminalserver als Standardbrowser nutzen, müssen Sie per "about:config" den Wert der Variable "security.enterprise_roots.enabled" auf "true" setzen, damit die parallele Anmeldung mehrerer Benutzer in beA funktioniert. Durch diese Anpassung nutzt Firefox den Windows-Zertifikatsspeicher.
Software-Token hinzufügen
Software-Token können analog zum bekannten Mechanismus hochgeladen werden. Der Zugriff aus das lokale Dateisystem des Client-PC muss für die Terminalserver-Umgebung gestattet werden. Die Software-Token werden dann vom Client-PC in das Nutzer-Profil auf dem Terminalserver hochgeladen. Dateien vom lokalen Client-PC können durch Rechte-Freigabe gelesen bzw. verwendet werden.
4. Zugriffsberechtigungen/ Benutzer freigeben
Nach einem erstmaligen Start der Client-Security ist für alle vorgesehenen Benutzer einen Vollzugriff auf dem Verzeichnis %Programdata% einzurichten. Dadurch werden spätere Aktualisierungen der Client-Security- Applikation automatisch zentral in diesem Verzeichnis abgelegt. Andernfalls werden die Client-Security-Applikation und deren Aktualisierungen je Benutzer in ein Verzeichnis c:\Benutzer\<BenutzerName>\BRAK abgelegt und es könnten vermeidbare Aktualisierungen der Client Security erfolgen. Im Terminalserver werden in einer Umgebung mehrere Instanzen der Client-Security für unterschiedliche Nutzer gestartet.
Nach der Freigabe der Anwendung für die Benutzer kann jeder am Terminalserver angemeldete Benutzer innerhalb seiner Session die Client-Security unabhängig von anderen Benutzern starten und schließen. Es wird jeweils eine eigene beA Client-Security-Instanz innerhalb der Umgebung des jeweils angemeldeten Benutzers gestartet. Jede Instanz der beA Client-Security verwendet einen eigenen Port auf Localhost für die Kommunikation mit dem Browser.
Alle benutzerspezifischen Dateien in der Terminalserver Konfiguration liegen auf dem Terminalserver. Das betrifft auch die Logfiles. Die Dateiübertragung zwischen dem Terminalserver und dem lokalen Rechner muss explizit freigeschaltet werden. Dafür sind folgende Schritte notwendig.
Mit der rechten Maustaste auf die Citrix Receiver Icon klicken und „Connection Center“ öffnen. Den Terminalserver auswählen (z.B. BRAK-TERMINAL). Mit einem Klick auf "Einstellungen" können Rechte vergeben werden.
Es kann ausgewählt werden, ob Lese- oder Schreibrechte vergeben werden sollen.
Anschließend kann ein Explorer auf dem Terminal Server geöffnet werden, der auch den Zugriff auf die lokalen Dateisysteme hat, entsprechend den Rechten, die für den lokal geöffneten Explorer gelten.
Nun können die Dateien ins lokale Dateisystem auf dem Client-PC übertragen werden.
5. beA als Benutzer starten
5.1 beA Client Security starten
Auf einem Terminalserver-Desktop starten Sie die beA Client Security über das Windows-Startmenu. Alternativ starten Sie die beA Client Security bei einer Bereitstellung als Web-App durch Klicken des beA Client Security Icons auf der Webseite des Terminalservers, wie in der nebenstehenden Abbildung dargestellt. Auf Ihrem lokalen Rechner rufen Sie vorab diese Webseite im Browser auf. In jedem Fall ist vorausgesetzt, dass die beA Client Security für Sie als Anwender auf dem Terminalserver freigegeben wurde und ein geeigneter Citrix Client bzw. vergleichbare Anwendung lokal installiert ist. Mit dem Starten der beA Client Security kann ggf. eine Aktualisierung der Client Security Version erfolgen. Im Anschluss erscheint das Icon der beA Client Security über dem Desktop.
5.2 beA Webanwendung starten
Die Client-Security wird über ein Icon auf dem Desktop angezeigt. Mit Mouse-Over werden die Versionsnummer der Client-Security und die verwendete Portnummer angezeigt. Das Kontext-Menü kann analog zur lokal installierten Version der Client-Security über das Icon genutzt werden. Im Terminalserver wird zusätzlich die Funktion „beA starten“ angeboten. Hier wird im aktuell konfigurierten Standard-Browser ein neues Fenster mit der beA-Anwendung geöffnet.
Beim Aufruf "Protokoll Ordner öffnen" wird ein Explorer Fenster geöffnet mit dem Pfad unter dem die Dateien auf dem Terminalserver liegen. Inhalte können in eine auf dem Client PC lokal gestartete Anwendung (z.B. Text Editor) per Zwischenablage übertragen werden. Über die Rechtevergabe kann dem Explorer Zugriff auf das lokale Dateisysetm gegebn werden, siehe unten.
6. Update
Grundsätzlich ist davon abzuraten, Updates von beA, z.B. per GPO bzw. SCCM, zu verteilen. Es ist zu berücksichtigen, dass für die Client-Security die Abwärtskompatibilität nicht grundsätzlich unterstellt werden kann und Updates nicht gesondert bereitgestellt werden. Es gibt bzgl. der beA-Updates aktuell keine festen Termine. Grob angedacht sind zwei größere Releases pro Jahr, jeweils im 2. und 4. Quartal. Die Detailplanung orientiert sich dann z.B. an den gesetzlichen Vorgaben und deren Terminsetzung. Hinzu kommen ggf. zusätzliche kleinere Fehlerbehebungen. Ob und in welcher Form die Client-Security jeweils betroffen ist, wird durch die BRAK bekannt gegeben. In Zukunft wird voraussichtlich jährlich ein Update der Java-Runtime-Umgebung eingeplant. Konkrete Risiken könnten im Einzelfall zu einem vorzeitigen Update führen. Bei Aktualisierungen der beA Client-Security sollten alle zugreifenden Clients beendet sein. Über einen lokalen Benutzer kann die Anwendung gestartet und die aktuelle Version heruntergeladen werden. Diese steht dann allen Benutzern zur Verfügung. Um sicherzustellen, dass die Benutzer nach der Aktualisierung die aktuelle CS nutzen, die laufenden Prozesse der CS beenden.
Ein Update der Basiskomponente wird genaus gehandhabt, wie ein Update der Anwendungskomponente. Für die Basiskomponente sind administrative Rechte nötig.
Hinweis: Als Administrator dürfen Sie nur die Installation oder ein Update der Basiskomponente der Client-Security ausführen, aber nicht die Anwendung starten! Die einzelnen Schritte des Updates werden in den oben angegeben Links näher beschrieben. Der Start der Anwendung darf ausschließlich durch die lokalen Benutzer erfolgen, das bedeutet als Adminstrator dürfen Sie NICHT den automatatischen Start nach dem Update oder nach dem Starten des PCs während des Updates ausgewählen, siehe hierfür A und B im Abschlussdialog in Client-Security aktualisieren.
7. Deinstallation
Die Deinstallation kann genauso durchgeführt werden, wie in beA Client Security deinstallieren beschrieben. Ggf. ist hierfür das Beenden der Anwendung bei Nutzern nötig.