Behobene Fehler:

• Ein Fehler wurde behoben, wodurch die Windows Benutzerauthentifizierung nicht mit UTF-16 Passwoetern durchgefuehrt wurde.

Comtarsia SignOn Gate 2006   
(7. Jänner 2009)

Build 1.2.37.x

Neue Funktionen bzw. Funktionsänderungen:

• UTF-8 Unterstützung fuer LDAP Passwoerter: Diese Funktionalitaet kann mit dem Parameter DWORD: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\LDAP\useUTF8Password=1 aktiviert werden. Ist dieser Parameter nicht vorhanden, so werden aus Kompatiblitätsgründen keine UTF-8 Passwörter verwendet.

Behobene Fehler:

• Ein Fehler im SSL-Stack von SOA und SOP wurde behoben, wodurch bei SSL-Zertifikaten mit einem Subjekt, welches nur aus CN besteht, eine FQDN Überprüfung auch bei übereinstimmenden Hostnamen immer fehlgeschlagen ist.

Comtarsia Logon Client 2006   
(15. Dezember 2008)

Build 4.1.51.x

Neue Funktionen bzw. Funktionsänderungen:

• UTF-8 Unterstützung für LDAP Passwoerter: Diese Funktionalität kann mit dem Parameter DWORD: HKLM\SOFTWARE\PCS\GINA\LDAP\useUTF8Password=1 aktiviert werden. Ist dieser Parameter nicht vorhanden, so werden aus Kompatiblitätsgründen keine UTF-8 Passwoerter verwendet.

Comtarsia Logon Client 2006   
(1. Dezember 2008)

Build 4.1.50.x

Behobene Fehler:

• Ein Fehler beim Auswerten der OpenLDAP Password Policy wurde behoben, wodurch im Falle eines Passwortwechsels etwaige Policy Rückmeldungen des LDAP Servers dem Benutzer nicht korrekt visualisiert wurden.

Comtarsia Logon Client 2006   
(18. November 2008)

Build 4.1.49.x

Neue Funktionen bzw. Funktionsänderungen:

• SSO: Für die automatische Installation der MSSO-Komponenten mittels Softwareverteilung wurde nun ein kleines Hilfsprogramm (TerminateComtMSSO.exe) erstellt, mit welchem sich alle gestarteten Instanzen von ComtMSSO.exe auf einmal beenden lassen. Empfohlene Reihenfolge der Installation einer neuen Version:

1) Kopieren der neuen TerminateComtMSSO.exe in das SSO bin Verzeichnis
2) Aufruf von TerminateComtMSSO.exe im SSO bin Verzeichnis
3) Kopieren der neuen MSSO-Dateien

• SSO:
Der Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\SSO\RootPath ersetzt den bisherigen Parameter HKLM\SOFTWARE\PCS\GINA\MSSORootPath.
Ist der GINA\SSO Key nicht vorhanden, so wird weiterhin GINA\MSSORootPath eingelesen.

Über die Registry Parameter
HKLM\SOFTWARE\PCS\GINA\SSO
    DWORD:LDAP_PWD_MODE (default:2)
    DWORD:LDAP_PKI_MODE (default:2)
    DWORD:OFFLINE_MODE (default:2)
    DWORD:LOCAL_LOGON_MODE (default:2)
    DWORD:WIN_ADS_MODE (default:2)
kann konfiguriert werden, ob und in welchem Modus das SSO-Modul in der jeweiligen Anmeldeart gestartet werden soll.

Mögliche Werte sind:
0 = SSO wird nicht gestartet
1 = SSO wird inaktiv gestartet, es kann bei Bedarf vom Benutzer über das Tray-Icon aktiviert werden.
2 = SSO wird normal gestartet und ist vom Anfang an aktiv.

Anmeldemodi:

• Die Funktion „Abmelden Erzwingen“ funktioniert nun auch im Smart Card Modus.

Behobene Fehler:

• SSO: Es werden nun nur noch SSO-Scripts geladen welche die exakte Endung „.dll“ haben.
• SSO: EinFehler wurde behoben, wodurch bei einer „Offline“-Anmeldung der aktuelle Benutzername im SSO nicht zur Verfuegung stand.
• Ein Fehler beim Auswerten der OpenLDAP Password Policy wurde behoben, wodurch im Falle eines Passwortwechsels etwaige Policy Rueckmledungen des LDAP Servers dem Benutzer nicht korrekt visualisiert wurden.
• Bei der Funktion „LDAPOUSearchListMode=1“ wurde ein Fehler behoben, welcher im Falle eines Timeouts bei der Systembenutzer-Anmeldung dem Benutzer nicht automatisch nach einem Offline-Logon gefragt hat.

Comtarsia Logon Client 2006   
(4. November 2008)

Build 4.1.48.x

Neue Funktionen bzw. Funktionsänderungen:

• SSO: Interne Optimierungen

Comtarsia Logon Client 2006   
(17. Oktober 2008)

Build 4.1.47.x

Behobene Fehler:

• Die Funktion „AdminLogon“ hat im Fall, dass der Benutzer mit Admin-Rechten entfernen nicht sich in der LDAP Passwort Expire oder Grace Logon Periode befindet nicht funktioniert. Ab diesem Build ist der Admin Logon auch in diesen Perioden möglich.
• In der Funktion „Workstation Logon Policy“ war es möglich in der ComboBox „Anmelde Art“ im Logon Panel den ausgewählten Eintrag zu verändern oder vollständig rauszulöschen, dies führte zu unvollständigem Ziel OU Pfade und Fehler am SignOn Agent beim Workstation OU Move Request.

Comtarsia Logon Client 2006   
(13. Oktober 2008)

Build 4.1.46.x

Neue Funktionen bzw. Funktionsänderungen:

• Das Modul „Managed SSO“ wurde um ein Tray-Icon erweitert, sodass ein Benutzer nun die Moeglichkeit hat, die SSO-Funktionalitaet temporaer fuer gewisse Aktionen (z.B. einer Anmeldung mit anderen Credentials) zu deaktivieren.

Comtarsia Logon Client 2006   
(29. September 2008)

Build 4.1.45.x

Behobene Fehler:

• Im PKI Modus bei ScardRemoveAction 3 (No Action) wurde im OnSasPanel bei Logoff/Schutdown die Aufforderung die Smart Card zu entfernen nicht angezeigt.

Comtarsia SignOn Gate 2006   
(2. Oktober 2008)

Build 1.2.36.x

Neue Funktionen bzw. Funktionsänderungen:

- SOP: Neuer Parameter REG_SZ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\Parameter\ListenerInterface=”” Mit diesem Parameter kann die IP oder der Hostname eines Netzwerk-Interfaces angegeben werden, welches für eingehende Verbindungen verwendet wird. Dadurch ist der Proxy über andere eventuell auf dem Rechner vorhandene Interfaces nicht mehr erreichbar. Ist dieser Parameter nicht definiert, leer oder „*“, so ist der SignOn Proxy auf allen Interfaces gebunden. Beispiel: ListenerInterface=”127.0.0.1” Der SignOn Proxy ist jetzt nur noch local (über 127.0.0.1) und nicht mehr über das Netzwerk erreichbar.
- SOP: Neuer Parameter DWORD: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\Parameter\syncClientLogonDC=1 Dieser Parameter hat nur eine Auswirkung für eine am Proxy konfigurierte Active Directory Domain. Ist dieser Parameter aktiviert, so wird bevorzugt der SignOn Agent synchronisiert, an welchem auch die Client-Anmledung erfolgen wird. Der Logon Client (ab Version 4.1.46.4) übermittelt, wenn diese Funktion aktiviert ist, den Anmelde-Server bei der Synchronisation. Dieses Verhalten bringt Vorteile im Bereich der AD-Replikation. Hierfür ist es vorteilhaft, wenn auf allen AD Domain Controllern ein SignOn Agent installiert ist. Mit diesem Build an unterstützt der Proxy nun bis zu 32 Domain Controller pro Domain. Zusätzliche Domain Controller werden im SignOn Proxy Konfigurator, mittels Beistrich separiert, als „Secondary Server“ eingetragen.

Comtarsia SignOn Gate 2006   
(3. September 2008)

Build 1.2.35.x

Neue Funktionen bzw. Funktionsänderungen:

- SOA: Für die Benutzerverwaltungsfunktionen wurde ein „Retry“ implementiert, sodass im Falle eines „Directory service busy“ nach einer kurzen Wartezeit eine Wiederholung der Aktion durchgeführt wird.
- SOA: Neuer Parameter DWORD: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Comt SOA_SYS_2006\SYSTEM\ adsReplicationMinimumTimeout =0 Definiert das Minimum Timeout für die ADS-Replikation in Sekunden. Ist die verbleibende TTL der Benutzersynchronisation kleiner als das definierte „adsReplicationMinimumTimeout“, so wird zumindest „adsReplicationMinimumTimeout“-Sekunden auf die Fertigstellung der Replikation gewartet.

Behobene Fehler:

- SOA: Ein Fehler im Bereich der ADS-Replikation wurde behoben, welcher im Falle eines Replikations-Timeouts zu einem erhöhten Ressourcenverbrauch am Agent geführt hat.

Comtarsia Logon Client 2006   
(21. August 2008)

Build 4.1.44.x

Behobene Fehler:

• Fehler im Smart Card Modus im Zusammenhang mit dem Screen-Saver wurden behoben.


Comtarsia SignOn Gate 2006 
(18. August 2008)

Build 1.2.34.x

Neue Funktionen bzw. Funktionsänderungen:

• Die SSL-Funktionen der Proxy->Agent-Kommunikation sowie die Active Directory Benutzer-Verwaltungsfunktionen wurden in Bezug auf den Speicherverbrauch stark optimiert.


Comtarsia Web Gateway 2006
(11. August 2008)

Build 1.2.12.x

Behobene Fehler:

- Ein Fehler in den Logfunktionen wurde behobem welcher in speziellen Fällen zu einem Memory Leak und/oder einer „Exception“ geführt hat.

Neue Funktionen bzw. Funktionsänderungen:

- Das Überschreiben folgender WinIntet Werte ist nun möglich:
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway 2006\
inetConnectTimeout=DWORD
Timeout für den Aufbau der Verbindung zum Zielserver.
inetRecvTimeout=DWORD
Timeout für den Empfang der Antwort vom Zielserver.
inetSendTimeout=DWORD
Timeout für das Senden der Anfrage zum Zielserver.
inetMaxConnectionsPer_1_0_Server=DWORD
Maximale Anzahl an HTTP1.0 Verbindungen (üblicher OS Wert: 5)
inetMaxConnectionsPerServer=DWORD
Maximale Anzahl an HTTP1.1 Verbindungen (üblicher OS Wert: 2)

Alle Zeitangaben sind in ms (Millisekunden). Ist ein Wert nicht definiert oder 0, bleibt der vom OS vorgegebene Wert unverändert. Die vom OS definierten Werte können sich zwischen OS-Versionen, sogar zwischen OS-Updates unterscheiden.
Ebenfalls können die Werte pro Benutzerkonto in der Registry definiert sein.
- Neue Parameter zur Ausgabe zusätzlicher Informationen in die LogDatei. Ist einer der beiden Parameter nicht definiert oder 0, findet keine zusätzliche Logausgabe statt.
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway 2006\
logProcessInformation=DWORD:0
0 Deaktiviert
1 Aktiviert zusätzliche Logausgabe
logProcessInformationInterval=DWORD:0
Gibt an nach wievielen „Total Requests“ die ProcessInformation ausgegeben werden soll.


Comtarsia SignOn Gate 2006   
(28. Juli 2008)

Build 1.2.33.x

Behobene Fehler:

• SOP: Ein Fehler in der SyncPolicy wurde behoben.

Comtarsia SignOn Gate 2006   
(23. Juli 2008)

Build 1.2.32.x

Neue Funktionen bzw. Funktionsänderungen:

• SOA: Neuer Parameter DWORD: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Comt SOA_SYS_2006\SYSTEM\ logProcessInformation=0 Wird dieser Parameter auf „1“ gesetzt, so werden Informationen ueber den Speicherbedarf des SignOn Agents periodisch in die Log-Datei geschrieben. Diese Funktion kann nur im AD-Modus des Agent aktiviert werden. Das Intervall der Ausgabe wird durch das ADSDiscover-Intervall bestimmt.

Comtarsia Logon Client 2006   
(22. Juli 2008)

Build 4.1.43.x

Behobene Fehler:

• Es wurde ein Fehler beim Auslesen von LDAP-Benutzergruppen behoben, welcher in bestimmten Situationen bei mehr als 50 Gruppen und aktivierter SSL-Verschluesselung zu einem „Application error“ gefuehrt hat.

• Bei einer SmartCard-Anmeldung wird nun im Falle eines gesperrten PINs der Karte (zu viele falsche PIN-Eingabeversuche; die Anzahl der moeglichen Fehlversuche ist auf der SmartCard hinterlegt) dem Benutzer eine passende Fehlermeldung angezeigt.

Comtarsia SignOn Gate 2006   
(22. Juli 2008)

Build 1.2.31.x

Behobene Fehler:

• SOA: Der SignOn Agent wurde erweitert, sodass nun auch ein „Account Lockout“ eines ADS-Benutzers automatisch zurueckgesetzt wird.

Comtarsia Logon Client 2006   
(26. Juni 2008)

Build 4.1.42.x

Neue Funktionen bzw. Funktionsänderungen:

• Mit dem neuen Parameter, REGSZ:HKLM\Software\PCS\Gina\RequiredSyncDomain können ein oder mehrere Domainnamen (mit Beichstrich separiert) definiert werden, von welchen im Zuge der Syncronisation über das SignOn Gate, zumindest eine Domäne (unabhängig vom SyncStatus) in der Proxy Reply Liste vorkommen muss, damit die Anmeldung durchgeführt wird. Der Domainname entspricht der Zeichenkette, welche am SignOn Proxy für eine bestimmte Domäne/Agent definiert ist, und während der Anmeldung im Synchronisations- Status Fenster angezeigt wird. Ist der Parameter leer oder nicht definiert, wird die Anmeldung unabhängig von der SyncProxy Reply Liste durchgeführt. Mit dem Parameter, REGSZ:HKLM\Software\PCS\Gina\RequiredSyncDomainMessage kann der Pop-up Text definiert werden, welcher erscheint, wenn auf Grund der fehlenden Domäne die Anmeldung nicht möglich ist.
Mit dem Parameter, DWORD:HKLM\Software\PCS\Gina\DontOfferCachedCredLogon=1, wird bei nicht erreichen des LDAP servers die Möglichkeit einer lokalen Cached Credential Anmeldung unterbunden.

Comtarsia Logon Client 2006   
(11. Juni 2008)

Build 4.1.41.x

Neue Funktionen bzw. Funktionsänderungen:

• In der Funktion AdminLogon wurde ein Fehler behoben. Wenn Sich der Benutzer in einer andern OU befindet als der AdminUser hat der AdminLogon nicht funktioniert.

Comtarsia Logon Client 2006   
(5. Juni 2008)

Build 4.1.40.x

Behobene Fehler:

• Neuer Parameter DWORD:HKLM\Software\PCS\Gina\LDAP\ SCardCertificateRemoveMode (default:0) Ist diese Option aktiviert (=1) so werden nach jedem Einlegen einer SmartCard alle Zertifikate im Computer-CertificateStore geloescht, die dem mit dem Parameter ScardCertificateFindMode definiertem Zertifikat-Suchfilter entsprechen. Hierdurch wird sichergestellt, dass immer nur das auf der SmartCard befindliche Zertifikat dem Zertifikat-Suchfilter entsprechen kann.

Comtarsia Logon Client 2006   
(30. Mai 2008)

Build 4.1.39.x

Neue Funktionen bzw. Funktionsänderungen:

• Neuer Parameter HKLM\Software\PCS\Gina\ScardDefaultContainerName Mit dieser Option kann ein CSP Default Container Name angegeben werden, aus welchem das Benutzerzertifikat geladen wird. Soll als DefaultContainerName ein leerer String verwendet werden, so muss ein „_“ in dem Registry-Wert angegeben werden.

• Mit dem Paramenter, HKLM\Software\PCS\Gina\DontOfferCtrlAltDel=1 wird im PKI Modus im abgemeldeten Zustand der Hinweistext ,dass man Ctrl-Alt-Del drücken kann, ausgeblendet werden.

• Der PIN-Dialog wird nun schon während des Einlesens der SmartCard-Daten angezeigt. Dadurch wird die benötigte Anmeldezeit des Benutzers zum Teil stark verkürzt.

Behobene Fehler:

• Beim Einlegen einer SmartCard ohne Chip wird nun direkt ein Fehler-Dialog ausgegeben und nicht mehr zuvor nach dem PIN gefragt. Diese Ueberpruefung wird nun auch beim Entsperren einer Arbeitsstation durchgefuehrt.

• Ein Sicherheitsproblem bei einer „gesperrten Arbeitsstation“ in Kombination mit einer Smart Card Authentifizierung wurde behoben.


Comtarsia Web Gateway
(19. Mai 2008)

Build 1.2.11.x

Neue Funktionen bzw. Funktionsänderungen:

- Ein neuer Parameter „EnsureTopframe“ wurde hinzugefuegt, mit welchem sich pro Site-Konfiguration festlegen laest, ob die WebGatewat Login-Seite in einem ev. vorhandenen Frame dargestellt werden soll, oder ob die Login-Seite immer in den Top-Frame geladen wird. Dieser Parameter betrifft die Benutzer/Passwort und die SmartCard Login-Seite.


Comtarsia SignOn Gate 2006   
(13. Mai 2008)

Build 1.2.30.x

Neue Funktionen bzw. Funktionsänderungen:

• SOA: Der SignOn Agent wurde erweitert, sodass nun auch ein „Account Lockout“ eines ADS-Benutzers automatisch zurueckgesetzt wird.


Comtarsia Web Gateway
(13. Mai 2008)

Build 1.2.10.x

Neue Funktionen bzw. Funktionsänderungen:

- Die technische Umsetzung des mit WebGateway Build 1.2.9.x eingebauten „Back“-Buttons wurde geändert.


Comtarsia Web Gateway
(28. April 2008)

Build 1.2.9.x

Neue Funktionen bzw. Funktionsänderungen:

- Auf der WebGateway Status-Seite wurde ein Button implementiert, welcher den Benutzer im Falle eines fehlgeschlagenen Logins zurueck zur Anmeldeseite bringt.
- Auf der Login-Seite wurde der „Go“-Button auf „OK“ umbenannt und mit dem „Cancel“-Button in der Reihenfolge getauscht.

Comtarsia Logon Client 2006   
(24. April 2008)

Build 4.1.38.x

Behobene Fehler:

• Bei der Funktion LDAPOUSearchListMode=1 wurde im Falle eines nicht erreichbaren LDAP-Servers einen falschen Rückgabewert an den Logon Client geliefert, wodurch der Benutzer nicht die möglichkeit einer Offline-Anmeldung angeboten wurde.

• Bei der Offline-Anmeldung und der aktivierten Windows Policy „DisableCAD“ blieb nach einer Windows Fehlermeldung der Windows Logon Dialog stehen.

Behobene Fehler:

• Einige SOAP Return-Werte wurden fuer eine 100% WebClient-Kompatibilität angepasst.



Comtarsia SignOn Gate 2006   
(3. März 2008)

Build 1.2.29.x

Neue Funktionen bzw. Funktionsänderungen:

- SOA: ExceptGroups unterstützten nun bis zu 2047 Zeichen.
- SOA: ExceptGroups können nun mit einem Wildcard am Ende versehen werden. z.B.: „testgrp*“
- SOP: Der Registry Wert für den „LDAP Server Type“ „ADS LDAP“ wurde von 9 auf 10 geändert.

Comtarsia SignOn Gate 2006   
(29. Februar 2008)

Build 1.2.28.x

Neue Funktionen bzw. Funktionsänderungen:

- Wenn bestimmte Benutzer-Attribute, die vom SignOn Agent in das ADS synchronisiert werden sollen, leer bzw. inexistent sind, werden diese Attribute-Werte nun auch im ADS entsprechend gelöscht. Diese Atribute konnen vom LDAP oder vom SignOn Proxy (Funktion AttributeBasedEnvironment) kommen.
In früheren SignOn Agent Versionen war ein Löschen eines Benutzerattribut-Wertes nicht möglich.
- Die SignOn Agent „Proxy-AcceptList“ wurde auf maximal 200 Einträge erweitert.

Comtarsia Logon Client 2006   
(26. Februar 2008)

Build 4.1.37.x

Neue Funktionen bzw. Funktionsänderungen:

• Interne Änderung



Comtarsia Web Gateway 2006  
(18. Februar 2008)

Build 1.2.6.x

Neue Funktionen bzw. Funktionsänderungen:

- Eine zum Comtarsia WebClient kompatible Unterstützung für SOAP-Clients wurde implementiert.
- Der „UserAgent“ des Client wird nun an die konfigurierte Web-Applikation weitergeleitet. Der Comtarsia UserAgent „Comtarsia http Client“ wird nicht mehr verwendet.

Behobene Fehler:

- Ein Fehler im Modul „CAisd“ wurde behoben, wodurch nicht in jedem Fall der in der Registry konfigurierte „loginDetectText“ zur Verwendung kam.
- Bei der Kommunikation mit dem SignOn Proxy wird nun die aktuelle Versionsnummer des Web Gateway mitgeschickt.
- Es wurde ein Fehler behoben, der auftrat, wenn „srcHost“ leer war und dstHost der selbe Hostname wie der Web Gateway war.
- Ein Problem mit der Passwort-Änderung ueber den SignOn Proxy wurde behoben.


Comtarsia Web Gateway 2006   
(14. Februar 2008)

Build 1.2.5.x

Neue Funktionen bzw. Funktionsänderungen:

- Neuer Installer
- Neuer Konfigurator zur einfachen Konfiguration sämtlicher Web Gateway Parameter sowie der IIS Integration. Dieses Konfigurationsprogramm benötigt das Microsoft DotNet Framework 2.0, welches vom Installer automatisch installiert wird.
- Die Site-Konfiguration kann nun auf einen oder mehrere SignOn Proxy Konfigurationen eingeschränkt werden. Falls mehrere Proxy Server definiert sind, wird die Auswahl nach wie vor mittels „Filter Username“ der Proxy Konfiguration durchgeführt.
- Neuer Parameter „Module Alias“. Pro Site Konfiguration kann nun ein „Module Alias“ definiert werden, welcher für den direkten Aufruf anstelle von „ComtWebGateway.dll“ verwendet werden kann.

Comtarsia Logon Client 2006   
(22. Jänner 2008)

Build 4.1.36.x

Neue Funktionen bzw. Funktionsänderungen:

• Mit dem Parameter HKML\Software\PCS\Gina\ WaitBeforeAllowLogon (DWORD) (default:0) können die Sekunden definiert werden, welche der Logon Client nach dem Bootvorgang und nach dem Starten des Workstation Service noch wartet, bis er die Anmeldemaske für die erste Anmeldung freigibt.
• Mit dem Parameter HKML\Software\PCS\Gina\ DisableClearMSGinaAutoLogonCred (DWORD) = 1 (default:0) kann das Löschen der Winlogon Autoadmin Credentials beim Bootvorgang verhindert werden.

Comtarsia Logon Client 2006   
(29. November 2007)

Build 4.1.35.x

Neue Funktionen bzw. Funktionsänderungen:

• Der Funktionalität “No Action” wurde nun den Parameter
Parameter HKML\Software\PCS\Gina\ SCardRemoveAction(DWORD) hinzugefügt.
0 = User selected, beim Karten ziehen sind folgende Aktion möglich:
Karteziehen: Lock Screen
Karte ziehen + Linke Strg-Taste: Force Logoff
Karte ziehen + Linke-Schift-Taste: Shutdown-Power-OFF

1 = Lock Screen
2 = Force Logoff
3 = No Action

• Mit dem Parameter HKML\Software\PCS\Gina\DisableShutdown(DWORD)=1
kann die Möglichkeit über den LogonClient einen Shutdown durchzuführen unterbunden werden.

• Mit dem Parameter HKML\Software\PCS\Gina\ IgnoreWinPolicies (DWORD)(default:1)=0 können Windows Group Policies Logon Client Einstellungen ändern.
Derzeit Implementierte Windows Group Policies:

Windows GPO:Logon Client Setting:

-Shutdown: Allow system to be shut
down without having to log onDisableShutdown
Shut Down command

-Remove and prevent access to theDisableShutdown
Shut Down command

-Intercative logon: Smart cardSCardRemoveAction
removal behavior

Comtarsia Logon Client 2006   
(23. November 2007)

Build 4.1.34.x

Neue Funktionen bzw. Funktionsänderungen:

- Unterstützung der EffectiveUserPolicy des IBM/Tivoli Directory Server 6.1.

Comtarsia SignOn Gate 2006   
(23. November 2007)

Build 1.2.27.x

Neue Funktionen bzw. Funktionsänderungen:

- Unterstützung der EffectiveUserPolicy des IBM/Tivoli Directory Server 6.1.

Comtarsia Logon Client 2006   
(19. November 2007)

Build 4.1.33.x

Neue Funktionen bzw. Funktionsänderungen:

• Über den Parameter HKML\Software\PCS\Gina\DisableShutdown = 1 wird der Shutdown-Button im OnSASPanel deaktiviert. Ebenso ist im Smart Card Modus über das Ziehen der Smart Card ein Shutdown nicht mehr möglich.
• Neuer DebugLevel „9“. Wird dieser DebugLevel eingestellt, so wird ein erweitertes LDAP-Log erzeugt.

Comtarsia SignOn Gate 2006   
(15. November 2007)

Build 1.2.26.x

Neue Funktionen bzw. Funktionsänderungen:

- Unterstützung für den IBM/Tivoli Directory Server 6.1

Behobene Fehler:

- Das Timeout der Active Directory Replication wurde so angepasst, dass auch im Falle eines Timeouts noch eine Antwort an den Proxy/Client gesendet wird.
- Im Security Agent wurden Massnahmen getroffen, um auch im Falle eines Stromausfalles die Datenbank-Integrität zu gewährleisten.

Comtarsia Logon Client 2006   
(12. November 2007)

Build 4.1.32.x

Neue Funktionen bzw. Funktionsänderungen:

• Unterstützung für den IBM/Tivoli Directory Server 6.1.

Behobene Fehler:

• Ein Fehler bei einer Smart Card Anmeldung in Kombination mit einem OpenLDAP Server wurde behoben.

Comtarsia Logon Client 2006   
(8. November 2007)

Build 4.1.31.x

Neue Funktionen bzw. Funktionsänderungen:

• Unterstützung für die Platform Windows X86_64 (Windows Server 2003 und Windows XP). Auf diesen Platformen muss der Build 4.1.x.5 installiert werden.

Behobene Fehler:

• Ein Fehler bei der Synchronisation mit dem SignOn Proxy 2006 wurde behoben, welcher bei einem Kommunikations-Timeout in bestimmten Fällen zu einem Segmentation Fault führte.

Comtarsia Logon Client 2006   
(24. Oktober 2007)

Build 4.1.30.x

Behobene Fehler:

• Ein Fehler bei der „Screen Lock“-Funktionalität in Verbindung mit einer Smart Card Anmeldung wurde behoben.

Comtarsia SignOn Gate 2006   
(15. Oktober 2007)

Build 1.2.25.x

Neue Funktionen bzw. Funktionsänderungen:

- Kundenspezifische Funktionserweiterung

Comtarsia SignOn Gate 2006   
(27. September 2007)

Build 1.2.24.x

Neue Funktionen bzw. Funktionsänderungen:

- Neuer „LDAP-AdminLogon“ Modus
DWORD:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\LDAP\LDAPUseAdminLogon”=1
In diesem Modus verbindet sich der SIgnOn Proxy mit einem Systembenutzer zum LDAP und holt mit diesem die Benutzerinformationen. Hierfür müssen mit dem Tool „SetLDAPAdminPassword.exe“ die Credentials des Systembenutzers in der lokalen Registry abgelegt werden (siehe Parameter-Beschreibung Build 1.2.23.x).
In diesem Modus erfolgt keine Gegenprüfung des Benutzerpasswortes mit dem LDAP!
- Die Funktionalität des Security Agent wurde speziell für mehrere Active Directory Domain Controller erweitert.
- Im Active Directory wartet der SignOn Agent beim Systemstart nun länger auf das Active Directory (5 Minuten)
- Bei Active Directory Benutzern, welche nicht die Comtarsia-Beschreibung (SERV_TMP_USER) haben, wird nun im Fall, das die Option „Activate all User“ aktiviert ist, auch die Expire-Zeit gesetzt.

Behobene Fehler:

- Ein Problem der Datenbank-Integrität wurde behoben, welches in bestimmten Fällen den Start des Agent-Dienstes verhinderte.
- Ein Fehler in den SyncAttributes wurde behoben, welcher in bestimmten Fällen zum nicht-setzen eines Benutzer-Attributes führte.
- Ein Fehler in Zusammenhang mit einer leeren Groupmapping-Liste wurde behoben.
- Ein Fehler der SignOn Agent Groupmapping-Liste, welcher Einträge mit mehr als 32 Zeichen betraf, wurde behoben.

Comtarsia Logon Client 2006   
(13. September 2007)

Build 4.1.29.x

Behobene Fehler:

• Im Terminal Server Modus war eine lokale Anmeldung direkt an der Server Console nicht möglich.

Comtarsia SignOn Gate 2006   
(10. September 2007)

Build 1.2.23.x

Neue Funktionen bzw. Funktionsänderungen:

- Wird die OU bereits vom Client ermittelt, verwendet der Proxy nun auch bei den „OUSearchList“-Modi die vom Client ermittelte OU anstatt selber noch einmal den Benutzer in allen konfigurierten OUs zu suchen
- Ein neuer „OUSearchList“-Modus wurde implementiert:

Die OUSearchList-Funktionalitäten des Comtarsia Logon Client 2006 und Comtarsia SignOn Proxy 2006 wurden so erweitert, dass zukünftig nach dem jeweiligen Benutzer im LDAP gesucht werden kann und nicht wie bisher mit jeder OU ein Bind-Versuch stattfindet.

Das bisherige Verhalten bleibt bestehen, das neue Verhalten kann über einen Registry-Parameter aktiviert werden.

Die OUSearchList kann auch im LDAP abgelegt werden, wodurch einfach Erweiterungen/Änderungen dieser möglich werden, ohne Konfigurations-änderungen auf den Clients vorzunehmen.

Zur Durchführung der neuen OUSearchList-Funktionalität benötigt der Logon Client einen eigenen Service Benutzer im LDAP, welcher die notwendigen Rechte hat, um die OUSearchList aus dem LDAP auszulesen sowie den Logon-Benutzer in allen konfigurierten LDAP-OUs zu suchen.

Detaillierte Beschreibung einer LDAP-Benutzeranmeldung mit der neuen OUSearchList-Funktionalität:
1) Ist der neue OUSearchList-Modus aktiv [1], so verbindet sich der Logon Client/Proxy mit den in der Registry hinterlegten Credentials [2] des LDAP-Servicebenutzers zum LDAP.
2) Wurden in der Registry ein LDAP-Objekt inkl. Attribut [3] hinterlegt, in welchem sich die OUSearchList befindet, so wird dieses ausgelesen. Ansonsten wird die OUSearchList aus der lokalen Registry gelesen [4].
3) Es wird nun für jeden Eintrag in der OUSearchList eine LDAP-Query abgesetzt, um zu sehen, ob der Benutzer in der jeweiligen OU existiert. Die Einträge der OUSearchList werden in der konfigurierten Reihenfolge durchgegangen. Wird der Benutzer in einer OU gefunden, so wird die weitere Suche abgebrochen. Wird der Benutzer in keiner der konfigurierten OUs gefunden, so wird der Logon abgebrochen und dem Benutzer der in [5] konfigurierte Wert als Fehlermeldung angezeigt.
4) Der LDAP-Servicebenutzer wird wieder abgemeldet und der Logon-Benutzer mit der unter 3) ermittelten Benutzer-DN an das LDAP angemeldet. An dieser Stelle ist die neue OUSearchList Funktionalität beendet und die bestehende Logon Client/Proxy LDAP-Funktionalität wird weitergeführt.

Registry-Parameter:
Als Präfix für die angeführten Registry-Keys gilt für den SignOn Proxy 2006:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\LDAP”

[1] DWORD:LDAPOUSearchListMode
Definiert den aktiven OUSearchList-Modus
• „0“ oder nicht vorhanden: Der bisherige OUSearchList-Modus ist aktiv
• „1“: Der in diesem Pflichtenheft beschriebene OUSearchList-Modus ist aktiv

[2] SZ:LDAPAdminDN und SZ:LDAPAdminPassword
Hier werden die LDAP-Benutzer-DN und das Passwort des Service-Benutzers definiert.
Die LDAPAdminDN muss eine absolute LDAP-DN (z.B.: uid=LogonClient, ou=ServiceUsers, o=Comtarsia) sein, andere LDAP-Einstellungen wie z.B. UserDNPrefix kommen hier nicht zur Anwendung
Das LDAPAdminPassword wird verschlüsselt in der Registry hinterlegt. Comtarsia liefert ein Programm, mit welchem dieser verschlüsselte Wert in der Registry angelegt wird. Dieser kann dann auf alle Rechner, welche dass Passwort benötigen, verteilt werden.

[3] SZ:LDAPOUSearchListObjectDN und SZ:LDAPOUSearchListAttribute
Definiert die LDAP-Objekt-DN und das LDAP-Attribut, in welchem die OUSearchList hinterlegt ist.
Die LDAPOUSearchListObjectDN muss eine absolute LDAP-DN sein.
Das LDAPOUSearchListAttribute ist eine Single-Value String-Attribut, die einzelnen OUSearchList-Einträge werden mittels „;“ getrennt.

[4] SZ:LDAPOUSearchList
Definiert die OUSearchList, wenn diese aus der lokalen Registry bezogen werden soll. Dieser Parameter existiert bereits.

[5] DWORD:LDAPOUSearchListErrorCode
Mit diesem Registry-Wert kann konfiguriert werden, ob der Benutzer, wenn er nicht im LDAP gefunden wurde, eine Fehlermeldung wie „Der angegebene Benutzer existiert nicht“ oder „Benutzername/Passwort falsch“ bekommen soll. Aus Sicherheitsgründen ist empfehlenswert, dem Benutzer keine Rückmeldung darüber zu geben, ob der Benutzername oder das Passwort falsch waren.

1 = Allgemeiner LDAP Fehler
2 = Falscher Benutzer oder Passwort. (empfohlen)
6 = Der Benutzer existiert nicht. (default)
Andere Fehler Codes sollten nicht verwendet werden, da dies zu unerwünschtem Verhalten führen kann.

Comtarsia Logon Client 2006   
(31. August 2007)

Build 4.1.28.x

Neue Funktionen bzw. Funktionsänderungen:

Ein neuer „OUSearchList“-Modus wurde implementiert:

Die OUSearchList-Funktionalitäten des Comtarsia Logon Client 2006 und Comtarsia SignOn Proxy 2006 wurden so erweitert werden, dass zukünftig nach dem jeweiligen Benutzer im LDAP gesucht werden kann und nicht wie bisher mit jeder OU ein Bind-Versuch stattfindet.

Das bisherige Verhalten bleibt bestehen, das neue Verhalten kann über einen Registry-Parameter aktiviert werden.

Die OUSearchList kann auch im LDAP abgelegt werden, wodurch einfach Erweiterungen/Änderungen dieser möglich werden, ohne Konfigurationsänderungen auf den Clients vorzunehmen.

Zur Durchführung der neuen OUSearchList-Funktionalität benötigt der Logon Client einen eigenen Service Benutzer im LDAP, welcher die notwendigen Rechte hat, um die OUSearchList aus dem LDAP auszulesen sowie den Logon-Benutzer in allen konfigurierten LDAP-OUs zu suchen.

Detaillierte Beschreibung einer LDAP-Benutzeranmeldung mit der neuen OUSearchList-Funktionalität:

1) Ist der neue OUSearchList-Modus aktiv [1], so verbindet sich der Logon Client/Proxy mit den in der Registry hinterlegten Credentials [2] des LDAP-Servicebenutzers zum LDAP.
2) Wurden in der Registry ein LDAP-Objekt inkl. Attribut [3] hinterlegt, in welchem sich die OUSearchList befindet, so wird dieses ausgelesen. Ansonsten wird die OUSearchList aus der lokalen Registry gelesen [4].
3) Es wird nun für jeden Eintrag in der OUSearchList eine LDAP-Query abgesetzt, um zu sehen, ob der Benutzer in der jeweiligen OU existiert. Die Einträge der OUSearchList werden in der konfigurierten Reihenfolge durchgegangen. Wird der Benutzer in einer OU gefunden, so wird die weitere Suche abgebrochen.
Wird der Benutzer in keiner der konfigurierten OUs gefunden, so wird der Logon abgebrochen und dem Benutzer der in [5] konfigurierte Wert als Fehlermeldung angezeigt.
4) Der LDAP-Servicebenutzer wird wieder abgemeldet und der Logon-Benutzer mit der unter 3) ermittelten Benutzer-DN an das LDAP angemeldet. An dieser Stelle ist die neue OUSearchList Funktionalität beendet und die bestehende Logon Client/Proxy LDAP-Funktionalität wird weitergeführt.

Registry-Parameter:
Als Prefix für die angeführten Registry-Keys gilt für den Logon Client 2006:
“HKEY_LOCAL_MACHINE\SOFTWARE\PCS\GINA\LDAP”

[1] DWORD:LDAPOUSearchListMode
Definiert den aktiven OUSearchList-Modus
• „0“ oder nicht vorhanden: Der bisherige OUSearchList-Modus ist aktiv
• „1“: Der in diesem Pflichtenheft beschriebene OUSearchList-Modus ist aktiv

[2] SZ:LDAPAdminDN und SZ:LDAPAdminPassword
Hier wird die LDAP-Benutzer-DN und das Passwort des Service-Benutzers definiert.
Die LDAPAdminDN muss eine absolute LDAP-DN (z.B.: uid=LogonClient, ou=ServiceUsers, o=Comtarsia) sein, andere LDAP-Einstellungen wie z.B. UserDNPrefix kommen hier nicht zur Anwendung
Das LDAPAdminPassword wird verschlüsselt in der Registry hinterlegt. Comtarsia liefert ein Programm, mit welchem dieser verschlüsselte Wert in der Registry angelegt wird. Dieser kann dann auf alle Rechner, welche dass Passwort benötigen, verteilt werden.

[3] SZ:LDAPOUSearchListObjectDN und SZ:LDAPOUSearchListAttribute
Definiert die LDAP-Objekt-DN und das LDAP-Attribut, in welchem die OUSearchList hinterlegt ist.
Die LDAPOUSearchListObjectDN muss eine absolute LDAP-DN sein.
Das LDAPOUSearchListAttribute ist ein Single-Value String-Attribut, die einzelnen OUSearchList-Einträge werden mittels „;“ getrennt.

[4] SZ:LDAPOUSearchList
Definiert die OUSearchList, wenn diese aus der lokalen Registry bezogen werden soll. Dieser Parameter existiert bereits.

[5] DWORD:LDAPOUSearchListErrorCode
Mit diesem Registry-Wert kann konfiguriert werden, ob der Benutzer, wenn er nicht im LDAP gefunden wurde, eine Fehlermeldung wie „Der angegebene Benutzer existiert nicht“ oder „Benutzername/Passwort falsch“ bekommen soll. Aus Sicherheitsgründen ist empfehlenswert, dem Benutzer keine Rückmeldung darüber zu geben, ob der Benutzername oder das Passwort falsch waren.

Comtarsia Logon Client 2006   
(21. August 2007)

Build 4.1.27.x

Neue Funktionen bzw. Funktionsänderungen:

- Ein neuer Parameter SCardCertificateFindMode wurde implementiert. Mit diesem kann man festlegen, anhand welcher Attribute das Zertifikat im CertificateStore gesucht werden soll. Dies ist nur sinnvoll, wenn das Default-Mapping keine Übereinstimmung liefert.

Parameter: HKLM\Software\PCS\Gina\LDAP
„SCardCertificateFindMode“ DWORD = 0
0 = IssuerSerialMode (Default) ... Es wird nach übereinstimmendem Aussteller und nach Seriennummer des Zertifikats gesucht.
1 = SimpleMode ... Das erste gefundene Zertifikat wird unabhängig von Übereinstimmungen verwendet.
2 = SubjectMode ... Das erste Zertifikat, von welchem das Subject übereinstimmt, wird verwendet.

Comtarsia SignOn Gate 2006   
(16. August 2007)

Build 1.2.22.x

Behobene Fehler:

- SOP Linux: Ein Problem mit den Thread-IDs unter openSUSE 10.2 wurde behoben.

Neue Funktionen bzw. Funktionsänderungen:

- Ein neuer Parameter LDAPGroupsSearchBase wurde implementiert, über welchen eine Base-DN für die Gruppensuche angegeben werden kann.

Parameter:
HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\LDAP
„LDAPGroupsSearchBase“ REG_SZ = „“
Wenn der Wert nicht existiert oder leer ist, wird die LDAPBaseDN verwendet. Ist das letzte Zeichen des Wertes ein „,“, wird die LDAPBaseDN angehängt.

Comtarsia Logon Client 2006   
(14. August 2007)

Build 4.1.26.x

Neue Funktionen bzw. Funktionsänderungen:

- Ein neuer Parameter SCardMappingUseLDAPBaseDN wurde implementiert. Mit diesem kann man festlegen, ob die BaseDN der Smartcard oder die konfigurierte LDAPBaseDN für die LDAP-Suche verwendet werden soll. Dies ist sinnvoll, wenn die DN der Smartcard von der LDAP-DN abweicht.

Parameter: HKLM\Software\PCS\Gina\LDAP
„SCardMappingUseLDAPBaseDN“ DWORD = 0
0 = SCardBaseDN (Default) ... Die BaseDN der Smartcard wird verwendet.
1 = LDAPBaseDN ... Die konfigurierte LDAPBaseDN wird verwendet.

Comtarsia Logon Client 2006   
(9. August 2007)

Build 4.1.25.x

Behobene Fehler:

- Ein Problem mit den Logon-Scripts wurde behoben


Neue Funktionen bzw. Funktionsänderungen:

- Ein neuer Parameter LDAPGroupsSearchBase wurde implementiert über welchen eine Base-DN für die Gruppensuche angegeben werden kann.

Parameter: HKLM\Software\PCS\Gina\LDAP
„LDAPGroupsSearchBase“ REG_SZ = „“
Wenn der Wert nicht existiert oder leer ist, wird die LDAPBaseDN verwendet. Ist das letzte Zeichen des Wertes ein „,“, wird die LDAPBaseDN angehängt.


Comtarsia Web Gateway 2006   
(23. Juli 2007)

Build 1.2.4.x

Neue Funktionen bzw. Funktionsänderungen:
- Automatischer Dekompressionssupport

Neue Konfigurationsparameter:
- DWORD:„HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway 2006\enableCompression”. Mit diesem Parameter kann die gzip-Komprimierung für ausgehende HTTP-Packete aktiviert werden.
- DWORD:„HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway 2006\compressionLevel”. Definiert die zu verwendende Kompressionsstufe.
- DWORD:„HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway 2006\maxLogFileSize”. Definiert die Größe, ab welcher die log-Datei rotiert werden soll.
- DWORD:„HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway 2006\maxLogFileHistory”. Definiert die Anzahl der zu archivierenden log-Dateien.

Comtarsia SignOn Gate 2006   
(12. Juli 2007)

Build 1.2.21.x

Neue Funktionen bzw. Funktionsänderungen:

- SOP: Die LDAPOUSearchList unterstützt nun bis zu 64 Einträge
- SOP: Die Funktion LDAPGroupTypes wurde um „ibm-allGroups“ erweitert. Wenn das „ibm-allGroups“-bit gesetzt ist, werden die Benutzergruppen anhand des ibm-allGroups-Attributs aus dem LDAP-Benutzerobjekt ermittelt. Der Wert „LDAPGroupTypes“ ist ein Bitfeld.

Parameter HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\LDAP
„LDAPGroupTypes“:DWORD (Default = 3)
groupOfNames 0x1
groupOfUniqueNames 0x2
posixGroup 0x4
ibm-allGroups 0x8

- SOA: Ein neuer Parameter „LDRFilter“, über welchem das Verhalten des SignOnAgent bei einem LDR-SyncRequest gesteuert werden kann, wurde hinzugefügt. Der Wert „LDRFilter“ ist ein Bitfeld. Das „Deny ADS Replication“-Bit des LDRFilter ersetzt den Wert „ReplicateIfLDR“. Der Wert „ReplicateIfLDR“ wird vom SOA nicht mehr eingelesen.

Parameter HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_SYS_2006\SYSTEM
„LDRFilter“:DWORD (Default = 1)
Deny ADS Replication 0x1
Deny Set Expire Time 0x2
Deny Set Last Logon Time on create 0x4
Deny Set Last Logon Time on update 0x8

- SOA: Die „Account Expire Time“ des ADS-Benutzerobjekts wird nun auch gesetzt, wenn diese größer ist als jene, die über „usrInactiveDisable“ konfiguriert ist.
- SOA: Der default-Wert des Parameters „acctExpPercent“ wurde auf 100 (expire Zeit immer neu setzen) geändert, um das ursprüngliche Verhalten zu bewahren.
- SOA: Wenn „Threshold User Time to Live“ geändert wird, wird nun das SOA-Service ebenfalls neu gestartet.
- SOA: Eine neue Variable „SOAHomeDirPath“, welche am SOP über AttributeBasedEnvironment gesetzt werden kann, wird nun unterstützt. Ist diese Variable gesetzt und am SOA das Wort „CLIENT“ als homeDirPath konfiguriert, wird die Variable SOAHomeDirPath zum Anlegen und Setzen der ACL des HomeDir verwendet und CLCHomeDirPath wird als homeDir ins Benutzerobjekt eingetragen. Wenn SOAHomeDirPath nicht gesetzt ist, wird CLCHomeDirPath wie ursprünglich ebenso zum Erstellen und Setzen der ACL verwendet.

Comtarsia Logon Client 2006   
(11. Juli 2007)

Build 4.1.24.x

Neue Funktionen bzw. Funktionsänderungen:

- Der Passwortwechsel-Dialog der Funktion “ForcePasswordChange”, welche über das LDAP Attribut „clcforcepasswordchange“ ausgelöst wird, erlaubt nun standardmäßig einen Abbruch. Über den Registry Parameter HKLM\Software\PCS\Gina „DenyCancleForcePWDChangeDlg“ DWORD = 1 kann die Abbruchmöglichkeit des Dialoges deaktiviert werden.

- Die Funktion LDAPGroupTypes wurde um „ibm-allGroups“ erweitert. Wenn das „ibm-allGroups“-bit gesetzt ist, werden die Benutzergruppen anhand des ibm-allGroups-Attributs aus dem LDAP-Benutzerobjekt ermittelt. Der Registry Eintrag „LDAPGroupTypes“ ist ein Bitfeld.

Parameter HKML\Software\PCS\Gina\LDAP
„LDAPGroupTypes“:DWORD (Default = 3)
groupOfNames 1
groupOfUniqueNames 2
posixGroup 4
ibm-allGroups 8

Comtarsia Logon Client 2006   
(3. Juli 2007)

Build 4.1.23.x

Neue Funktionen bzw. Funktionsänderungen:

- Die LDAPOUSearchList unterstützt nun bis zu 64 Einträge

- Zusätzlich zu HWAdmin wurde HWAdminTemp implementiert, über welches man einem Benutzer temporäre Administratorrechte zuweisen kann.

Parameter: HKLM\Software\PCS\Gina
„HWAdminTempGroup“:REG_SZ
definiert den Name der LDAP Gruppe, in welcher ein Benutzer Mitglied sein muss, um temporäre Workstation-Administrationsrechte zu erhalten.

„HWAdminAttribute“:REG_SZ
gibt an, welches Attribut des LDAP-Benutzersobjektes eine Liste mit Rechnernamen enthält, für welche dieser Benutzer HWAdmin werden darf.

„HWAdminTempExpireDateAttribute“:REG_SZ
definiert das LDAP Attribut, welches im Format „JJJJMMTThhmmss“ den exakten Zeitpunkt des Ablaufs der temporären Workstation-Administrationsberechtigung für den Benutzer angibt.

Zum Zeitpunkt der Anmeldung werden vom Logon Client diese Parameter vom LDAP Server ausgelesen und anhand der lokalen Systemzeit der Workstation bestimmt, wie lange dem Benutzer temporäre Administrationsrechte gegeben werden dürfen.

„HWAdminTempMaxAllowedExpireTimeOffset”:DWORD
definiert die Stunden, welche die lokale Systemzeit maximal vor der Zeit im Attribut „HWAdminTempExpireDateAttribute“ liegen darf, damit temporäre Administrationsrechte vergeben werden.

„HWAdminTempForceLogoffNotify1“:DWORD
definiert die Zeit in Sekunden, in welcher der Anwender in der temporären HWAdmin-Sitzung vor Ablauf der Administrationsrechte auf die bevorstehende erzwungene Abmeldung über ein Pop-up (welches der Benutzer mit OK bestätigen kann) informiert wird.

„HWAdminTempForceLogoffNotify2“:DWORD
definiert die Zeit in Sekunden, welche vor Ablauf der temporären HWAdmin-Sitzung einen Dialog in der Benutzersitzung bringt, welche dem Benutzer über die automatische erzwungene Abmeldung über einen Count Down informiert.

Dem temporären Workstation-Administrator ist es nicht möglich, durch Verstellen der lokalen Systemzeit den erzwungenen Log-off hinauszuzögern.
Bei einer erneuten Anmeldung innerhalb der temporären HWAdmin-Periode wird ein Verstellen der Systemzeit durch einen im Benutzerprofil abgelegten Timestamp, welcher während der gesamten Admin-Logonsitzung durch eine intern errechnete Zeit aktualsiert wird, erkannt und die Adminrechte werden entzogen. Im Falle, dass bei einer erneuten Anmeldung die lokale Systemzeit früher ist als bei der ersten Anmeldung, werden der Benutzersitzung keine lokalen Administratorberechtigungen zugewiesen.

Erhält der Benutzer zusätzlich über die „HwAdminGroup“ permanente lokale Administrator-Berechtigung, ist die gesamte Logik der Funktion HWAdminTemp deaktiviert.

Befindet sich die temporäre lokale Administrator-Sitzung im gesperrten oder Screensaver-Status, wird ebenfalls ohne Rücksicht auf Datenverluste die Sitzung automatisch abgemeldet.

Comtarsia Signon Gate 2006   
(28. Juni 2007)

Build 1.2.20.x

Neue Funktionen bzw. Funktionsänderungen:

- Das AttributeBasedEnvironment unterstützt nun bis zu 30 Einträge.

Behobene Fehler:

- SOP: Ein Fehler mit LDAP-Gruppen wurde behoben
- SOA: Ein Fehler durch welchen bei einem Web-Client Sync das Passwort überschrieben wurde, wurde behoben

Comtarsia Signon Gate 2006   
(11. Juni 2007)

Build 1.2.19.x

Behobene Fehler:

- SOP: LDAP-Attribute für das AttributeBasedEnvironement werden nun auch für UID-Benutzer richtig ausgelesen
- SOP: Wenn im AttributeBasedEnvironment mehr Zeichen als vorhanden abgeschnitten werden, wird nun ein leerer Wert zurückgeliefert

Comtarsia Signon Gate 2006   
(6. Juni 2007)

Build 1.2.18.x

Behobene Fehler:

- SOP: Ein Fehler im AttributeBasedEnvironment im Zusammenhang mit leeren LDAP-Attributen und Abschneideoperatoren wurde behoben.

Comtarsia Logon Client 2006   
(4. Juni 2007)

Build 4.1.22.x

Neue Funktionen bzw. Funktionsänderungen:

- Die LDAPOUSearchList unterstützt nun bis zu 30 Einträge.

Comtarsia Signon Gate 2006   
(4. Juni 2007)

Build 1.2.17.x

Neue Funktionen bzw. Funktionsänderungen:

- Die LDAPOUSearchList unterstützt nun bis zu 30 Einträge.
- Aenderung der AttributeBased*-Funktionen:
Die Filterregeln werden aus Gründen der Übersichtlichkeit nur noch auf das AttributeBasedEnvironment angewandt. Für die AttributeBasedOUs/Groups kommen nun ausschließlich AttributeBasedEnvironment-Einträge zur Anwendung.
- Der Syntax von AttributeBasedEnvironment und AttributeBasedOU ist nun: Zeichenkette%Variable%Zeichenkette[%Variable%[Zeichenkette]]
%Variable% wird durch den im AttributeBasedEnvironment gesetzten Wert ersetzt.

Comtarsia Logon Client 2006   
(23. Mai 2007)

Build 4.1.21.x

Neue Funktionen bzw. Funktionsänderungen:

- Bei der Funktion „Workstation Logon Policy“ wird im Falle, dass sich die Workstation in keiner Sub-OU befindet, der Text „Bitte Wählen..“ im Domain Feld angezeigt. Wenn sich nur eine Sub-OU in der Liste befindet, wird diese schon vorselektiert.

Comtarsia Logon Client 2006   
(16. Mai 2007)

Build 4.1.20.x

Neue Funktionen bzw. Funktionsänderungen:

- Bei der Funktion „Workstation Logon Policy“ beim Logon Panel Aufbau wird im Falle, dass der Domain Controller im Cache nicht erreichbar ist, ein zweiter Versuch, die Active Directory Daten von weiteren verfügbaren DC’s auszulesen, durchgeführt. Insofern noch andere DC’s für diese Domäne verfügbar sind, ist sichergestellt, dass ein kurzfristiger Ausfall eines DC’s zu keiner leeren Liste im Logon Panel führt.

Comtarsia Signon Gate 2006   
(11. Mai 2007)

Build 1.2.16.x

Behobene Fehler:

- SOA: Ein Fehler mit ADS Sub-Domains wurde behoben

Comtarsia Logon Client 2006   
(7. Mai 2007)

Build 4.1.19.x

Neue Funktionen bzw. Funktionsänderungen:

- Mit dem Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\ WM_LDAP_OPT_REFERRALS = 1 (default = 0) kann bei der Funktion „Workstation Logon Policy“ das automatische Verfolgen der LDAP Referenzen aktiviert werden. Mit Build 4.1.18.x ist das Verfolgen der Referenzen immer aktiv.

Comtarsia Logon Client 2006   
(25. April 2007)

Build 4.1.18.x

Neue Funktionen bzw. Funktionsänderungen:

Mit dem Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\ GPUpdate_CMD kann der Befehl für das GroupPolicy Aktivieren für die Funktion frei konfiguriert werden. Default: „gpupdate.exe“
Beispielkonfiguration für Windows 2000:
GPUpdate_CMD = „secedit /refreshpolicy machine_policy /enforce“

PKCS11 Support:
DWORD SCardPKCS11Usage=0
WCHAR SCardPKCS11DLL[1024]=""
DWORD SCardPKCS11ContainerType=3

Comtarsia Logon Client 2006   
(16. April 2007)

Build 4.1.17.x

Neue Funktionen bzw. Funktionsänderungen:

Mit dem Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\ DisableLocalLogon=1 kann die Möglichkeit der Anmeldung über lokale Benutzerkonten verhindert werden. Die Option „Lokale Workstation“ steht als Auswahl im Logon Dialog nicht mehr zur Verfügung.

Mit dem Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\ NoScriptsByCachedCredLogon=1 (default 0)werden sämtliche Scripts, bei einer Offlineanmeldung (via CachedCredentials) im Domain Anmeldemodus, nicht ausgeführt.

Mit dem Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\ "EnableWkstLogonPolicy"= 1 wird die Funktion Workstation Logon Policy eingeschaltet. Die Listbox für die Auswahl der Anmelde-Workstation OU bzw. der lokalen Workstation-Anmeldung bekommt die Bezeichnung „Anmeldeart“
Bei jedem Aufbau des Logon Panels versucht der Logon Client in der AD-Domäne, in welcher der Client gejoined ist, die aktuelle OU, in welcher sich der Workstation-Account befindet auszulesen. Die root-OU’s sind im Parameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\ WkstLogonPolicyRootOUGroups(MULTI_SZ) definiert. Die Sub-OU’s bzw. Parallel-OU’s unterhalb der definierten root OU werden dem Anwender zur Auswahl im Logon Panel angeboten. Befindet sich die Workstation bereits in einer Sub-OU ist diese in der Listbox bereits vorselektiert.
Ist diese Abfrage nicht möglich, z.B. da der DC für die Domäne nicht erreichbar ist, soll im Feld „Anmeldeart“ die Auswahl Offline-Anmeldung (Cached Credentials) angezeigt und ausgewählt sein.
Auswählbar sein sollen alle Sub-OU’s unterhalb der „.._Group“ OU.
Wenn der Computer-Account sich in der „.._Group“ OU befindet, gibt es keine Vorauswahl. Wenn während einer Anmeldung ein OU Move durchgeführt wird, wird der Befehl „gpupdate.exe“ ausgeführt, damit die Policies welche der jeweiligen SUB-OU zugewiesen sind, für die Anmeldesitzung bereits wirksam sind. Diese Funktionalität setzt den Einsatz von Comtarsia SignOn Gate Build 1.2.15.4 oder größer mit eingeschalteter Workstation OU-Move Funktion voraus.

Mit dem Registryparameter REG_SZ:HKLM\SOFTWARE\PCS\GINA\GPUpdate_Mask (DWORD) kann der Zeitpunkt der Ausführung des Befehls „gpupdate.exe“ bestimmt werden. Die Bit’s dieser Maske können beliebig kombiniert werden.

Beispiel: REG_SZ:HKLM\SOFTWARE\PCS\GINA\GPUpdate_Mask = 0x102. gpupdate.exe wird bei jeder Erfolgreichen Anmeldung, vor der Active Directory Anmeldung mit dem Systemtoken ausgeführt.

Beispiel: REG_SZ:HKLM\SOFTWARE\PCS\GINA\GPUpdate_Mask = 0x4. gpupdate.exe wird bei einer Erfolgreichen Anmeldung, wenn auf Grund der Benutzerauswahl eine Wkst.OU Move ausgeführt wurde , nach der Active Directory Anmeldung mit dem Benutzertoken ausgeführt.

Comtarsia LDAP Directory Replicator 2006   
(13. April 2007)

Build 1.2.2.x

Neue Funktionen bzw. Funktionsänderungen:

- Ein Logfile-Rotationsmechanismus wurde eingebaut und die maximale Logfile-Größe kann nun konfiguriert werden.
Parameter Log\maxLogFileSize=DWORD: 26214400
Definiert die maximale Größe pro Logdatei in Bytes
Parameter Log\maxLogFileHistory=DWORD:3
Definiert die maximale Anzahl an Logdateien, welche aufgehoben werden.
- Eine Prozessorinformation wird nun zusätzlich zur Betriebssystem-Version beim Start der Applikation ins Logfile geschrieben
- Das Passwort des Systembenutzers (LDAPAdminPassword) muss nun verschlüsselt in der Registry abgelegt werden. Hierfür steht das Command Line Utility „SetLDAPAdminPassword.exe“ zur Verfügung.
- „Job has finished“ wird nun getrennt von der „Maximum Runtime“-Überprüfung ausgegeben

Behobene Fehler:
- Ein Performance-Problem beim Schreiben der Benutzerdatenbank (LDRDB.dat) wurde behoben

Comtarsia SignOn Gate 2006   
(13. April 2007)

Build 1.2.15.x

Neue Funktionen bzw. Funktionsänderungen:

- SOP: Neue Filterregeln für die „AttributeBasedOU“ und „AttributeBasedEnvironment“-Funktionen in Verbindung mit dem LDAP Directory Replicator:
Syntax: >>><<<[([[!]a[,[!]b[,...]]][:DEFAULT_VALUE])]
Bedeutung:
> entfernt 1 Zeichen von links (kann mehrfach vorkommen)
< entfernt 1 Zeichen von rechts (kann mehrfach vorkommen)
() beinhaltet die Filterregel
(a,b)
Beginnt der Wert mit “a” oder “b”, sind die Abschneideoperatoren aktiv. Ansonsten wird der Wert eins zu eins übernommen

(!a,!b)
Beginnt der Wert weder mit “a” noch mit “b”, sind die Abschneideoperatoren aktiv

(a,b:DEFAULT_VALUE)
Ist der Wert leer, wird “DEFAULT_VALUE” verwendet.

Beispiel AttributeBasedEnvironment:
Physicaldeliveryofficename=>(0)pdon
bei einem Wert von “123”, wird dieser unverändert in pdon gespeichert
bei einem Wert von “0123”, wird das erste Zeichen entfernt und somit “123” in pdon gespeichert


Beispiel AttributeBasedOU: Physicaldeliveryofficename=>>(01,02:ou=ATQADEF)ou=ATQA%s
Beginnt der Wert mit “01” oder “02”, werden die ersten beiden Zeichen weggeschnitten und “ou=ATQA%s”, wobei %s durch den resultierenden Wert ersetzt wird, als OU verwendet.
Ist der Wert nicht gesetzt, wird “ou=ATQADEF” als default verwendet.

Physicaldeliveryofficename=>>(!i)ou=ATQA%s
Beginnt der Wert nicht mit “i”, werden die ersten beiden Zeichen abgeschnitten.

- SOA: Neues SyncPolicy-Flag “SYNC_POLICY_ADS_WKST_OU_MOVE= 0x100000”. Mit diesem Flag wird die Workstation OU Move Funktionalität aktiviert.

Behobene Fehler:
- SignOn Proxy/LDR Modus: Ein Problem mit den AttributeBasedOUs wurde behoben
- SignOn Agent/LDR Modus: Die Konfiguration der Replikationssteuerung wird nun richtig ausgewertet
- SignOn Proxy: Unberechtigte Warnungen beim Einlesen der Konfiguration wurden entfernt

Comtarsia LDAP Directory Replicator 2006   
(13. April 2007)

Build 1.2.2.x

Neue Funktionen bzw. Funktionsänderungen:

- Ein Logfile-Rotationsmechanismus wurde eingebaut und die maximale Logfile-Größe kann nun konfiguriert werden.
Parameter Log\maxLogFileSize=DWORD: 26214400
Definiert die maximale Größe pro Logdatei in Bytes
Parameter Log\maxLogFileHistory=DWORD:3
Definiert die maximale Anzahl an Logdateien, welche aufgehoben werden.
- Eine Prozessorinformation wird nun zusätzlich zur Betriebssystem-Version beim Start der Applikation ins Logfile geschrieben
- Das Passwort des Systembenutzers (LDAPAdminPassword) muss nun verschlüsselt in der Registry abgelegt werden.
Hierfür steht das Command Line Utility „SetLDAPAdminPassword.exe“ zur Verfügung.
- „Job has finished“ wird nun getrennt von der „Maximum Runtime“-Überprüfung ausgegeben

Behobene Fehler:
- Ein Performance-Problem beim Schreiben der Benutzerdatenbank (LDRDB.dat) wurde behoben

Comtarsia SignOn Gate 2006   
(23. März 2007)

Build 1.2.14.x

Neue Funktionen bzw. Funktionsänderungen:

- SOA: Password-Template fuer vom LDAP Directory Replicator neu angelegte Benutzer REG_SZ:„SYSTEM\pwdTemplate“, Default: „RLU9R9LRR“
- SOA: ADS Replikationssteuerung fuer LDAP Directory Replicator Sync-Requests: DWORD:“SYSTEM\replicateIfLDR”, Default: 0
Ist dieser Wert aktiviert, so wird auch bei LDR Sync Requests eine ADS-Replikation angestossen
- SOA: ADS Account Expire
DWORD:“SYSTEM\acctExpPercent“, Default 60
Prozentualer Anteil der acct_expires Zeit für die Überprüfung ob das Benutzer Expired Feld gesetzt werden soll
- SOP: AttributeBasedEnvironment
„physicalDeliveryOfficeName=>officeName“ oder „ \\server1\%physicalDeliveryOfficeName%\%username%= CLCHomeDirPath”

Comtarsia Logon Client 2006   
(23. Februar 2007)

Build 4.1.16.x

Neue Funktionen bzw. Funktionsänderungen:

- Interne Optimierungen der LDAP Library

Comtarsia SignOn Gate 2006   
(23. Februar 2007)

Build 1.2.13.x

Neue Funktionen bzw. Funktionsänderungen:

- UTF8 Unterstützung auf allen Plattformen
- Interne Optimierungen der LDAP Library

Comtarsia Logon Client 2006   
(5. Februar 2007)

Build 4.1.15.x

Neue Funktionen bzw. Funktionsänderungen:

- Erzwungenes Abmelden mit lokalen Administrator:
Mit HKLM\SOFTWARE\PCS\GINA\ForceUnlockTime = 0, wird das erzwungene Abmelden nach einer bestimmten Zeit abgeschaltet, und es ist ein erzwungenes Abmelden mit einem lokalen Administrator möglich.

- UTF8 Unterstützung für LDAP

Comtarsia Web Gateway 2006   
(15. Jänner 2007)

Build 1.2.3.x

Neue Funktionen bzw. Funktionsänderungen:

- Neuer Konfigurationsparameter DWORD:„HKEY_LOCAL_MACHINE\SOFTWARE\Comtarsia\Web Gateway
2006\DisableHTTPKeepAlive”. Mit diesem Parameter kann ein Abschalten der HTTP Keep Alive Funktionalität erzwungen werden.
- Im Falle eines Forward von HTTP auf HTTPS werden nun auch absolute Links auf das richtige Protokoll umgeschrieben.

Comtarsia Web Gateway 2006   
(3. Jänner 2007)

Build 1.2.2.x

Neue Funktionen bzw. Funktionsänderungen:

- Smart Card Login wird nun unterstützt
- Erweiterung der Status Ausgaben

Comtarsia Web Gateway 2006   
(13. Dezember 2007)

Build 1.2.1.x

Initial Release

Comtarsia Web Client 2006   
(15. November 2006)

Build 1.2.5.x

Neue Funktionen bzw. Funktionsänderungen:

- Die Grafiken auf der Login- und auf der Response-Seite wurden aktualisiert
- Bei der Verwendung der WebClient SOAP-API muss eine XML-Deklaration nun nicht mehr zwingend mitgesendet werden

Comtarsia Logon Client 2006   
(21. Juli 2006)

Build 4.1.14.x

Neue Funktionen bzw. Funktionsänderungen:

- Einige interne Routinen des Installationsprogramms wurden geändert

Comtarsia SignOn Gate 2006   
(21. Juli 2006)

Build 1.2.12.x

Behobene Fehler:

- SignOn Proxy/Agent System Windows: Ein interner Timer-Fehler wurde behoben


Neue Funktionen bzw. Funktionsänderungen:

- Die Funktionen “DomainServers“ und „SyncAttributes“ wurden den SignOn Gate Konfiguratoren hinzugefügt.

Comtarsia SignOn Gate 2006   
(22. Juni 2006)

Build 1.2.11.x

Neue Funktionen bzw. Funktionsänderungen:

- SignOn Agent System Windows: Neues Installationsprogramm
- SignOn Agent System Windows: In Logausgaben wird nun zur Fehlernummer auch der entsprechende Fehlertext ausgegeben.
- SignOn Agent System Windows: Für den Benutzer des SignOn Agent werden die Optionen „Add/Remove from group“ nicht mehr beachtet, wodurch das fehlerfreie automatische Verwalten dieses Benutzers gegeben ist.
- SignOn Agent System Windows: Das lokal am Agent konfigurierte „Homedir drive“ wird nun verwendet, wenn im LDAP bzw. am Client kein Laufwerksbuchstabe definiert wurde.
- SignOn Agent System Windows: Bei der Funktion „Remove from group“ wurde ein Fehler behoben, welcher zu teilweise falschen Logausgaben führte.
- SignOn Agent System Windows: Neue Funktion „DomainServers“

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_SYS_2006\SYSTEM\enableDomainServers:DWORD=0/1 (Default 0)

Hiermit kann die gesamte Funktionalität aktiviert oder deaktiviert werden.

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_SYS_2006\SYSTEM\SYSTEM\domainServersListType:DWORD=0/1 (Default 0)

Definiert den Typ der Domain Server Liste:
0 = „Deny list“, Alle in der Liste aufgeführten Server sind nicht erlaubt, alle anderen sind erlaubt.
1 = „Allow list“, Alle in der Liste aufgeführten Server sind erlaubt, alle anderen sind verboten.

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_SYS_2006\SYSTEM\SYSTEM\domainServersAutoDiscover:DWORD=0/1 (Default 0)

Hiermit wird definiert, ob alle Domain Member automatisch in die DomainServer Liste aufgenommen werden sollen.

HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_SYS_2006\DOMAINSERVERS

Unter diesem Registry Key werden die einzelnen Server als REG_SZ definiert. Der Name des Wertes beinhält den Server, der Wert selbst wird nicht verwendet.

Comtarsia Logon Client 2006  
(29. Mai 2006)

Build 4.1.13.x

Behobene Fehler:

Bei einem “Citrix Anonymous Logon” wird der lokale Computername des Terminal Servers, statt bisher der Domänename (HKLM\SOFTWARE\PCS\GINA\strLocalDomain), als Logon Domäne für die Anmeldung verwendet. (Die Anonxx Benutzer befinden sich immer lokal.)


Neue Funktionen bzw. Funktionsänderungen:

- Eine Installation des Logon Client auf einem Terminal Server ist nun auch möglich, ohne dass der Server in den „Install-Mode“ gesetzt wird.

- Eine bereits vorhandene Citrix Installation wird vom Installer erkannt und eine korrekte GINA-Kaskadierung mit der Citrix-GINA wird vorgenommen.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"CtxGinaDLL"="pcs_gina.dll"
"GinaDLL"="ctxgina.dll"

- Mit dem Parameter „REG_SZ:HKLM\SOFTWARE\PCS\GINA\ WTSLdapLogonDomain“ kann der LDAP Domain Logon String definiert werden, welcher bei einer LDAP WTS Anmeldung verwendet werden soll. Im Remote Desktop Client muss zusätzlich zu dem Benutzernamen und Passwort als Domain die Zeichenfolge „ldap“ bzw. „LDAP LOGON“ definiert sein.

- Eine WTS PassTrough Anmeldung wird erreicht, in dem man am RemoteDesktopClient bzw. am Citrix Client zusätzlich zu dem Benutzernamen und Passwort als Anmelde-Domäne die im Logon Client definierte Logon Domäne (REG_SZ: HKLM\SOFTWARE\PCS\GINA\strLocalDomain) angibt. In diesem Fall wird keine primäre LDAP Anmeldung durchgeführt, sondern mit den übermittelten Logon Credentials eine Windows Anmeldung durchgeführt.
Die WTS PassTrough Anmeldung wird über den Parameter DWORD:HKLM\SOFTWARE\PCS\GINA\WTSPassThroughMode > 0 aktiviert. (default = 3)

Mit dem Schalter DWORD:HKLM\SOFTWARE\PCS\GINA\SyncOnWTSPassThroughLogon = 1 (default = 0), kann bei einer PassThrough Anmeldung ein Synchronisations-Request an den SignOn Gate Proxy verschickt werden. Der SignOn Request wird aus Sicherheitsgründen vom ProxyServer aber nur bei eingeschaltetem Counter Check akzeptiert.
Wenn für die LDAP Anmeldung bzw. Gegenprüfung am Proxy ein anderer Domainstring als „LDAP LOGON“ verwendet werden soll, kann dieser über den Parameter „REG_SZ: HKLM\SOFTWARE\PCS\GINA\ WTSLdapLogonDomain“ definiert werden.
Ausnahme ist der Citrix Anonymous Logon, welcher durch den Benutzernamen Anonxx – Benutzer vom Logon Client erkannt wird. Bei einem Citrix Anonymous Logon User wird immer eine lokale Anmeldung durchgeführt und es wird kein Synchronisations-Request an den SignOn Proxy versendet.
Ein Citrix Anonymous Logon kann über den Parameter DWORD:HKLM\SOFTWARE\PCS\GINA\WTSPassThroughMode > 1 eingeschaltet werden. (default = 3)

Comtarsia Logon Client 2006  
(19. April 2006)

Build 4.1.12.x

Neue Funktionen bzw. Funktionsänderungen:
Die Funktion “Trust Options“ wurde dem Logon Client Configurator hinzugefügt.

Comtarsia SignOn Gate 2006  
(19. April 2006)

Build 1.2.10.x

Neue Funktionen bzw. Funktionsänderungen:
Die Funktionen “Trust Options“ und „SyncAttributes“ wurde den SignOn Gate Konfiguratoren hinzugefügt.

Comtarsia Logon Client 2006  
(10. April 2006)

Build 4.1.11.4

Neue Funktionen bzw. Funktionsänderungen:

- Location-Mode: Neue Environment Variable %VALID_LOCATION%
Diese Variable ist immer dann gesetzt, wenn eine Locationsüberprüfung stattfindet. Ist der aktuelle Benutzer für die Location erlaubt, so hat die Variable den Wert „1“, ansonsten den Wert „0“. Wird keine Locationsüberprüfung durchgeführt, z.B. weil der Benutzer keine LDAP Anmeldung durchgeführt hat, so ist diese Variable nicht gesetzt.

- Neues Feature „Trust Options“:
Dieses Feature wurde bei allen Produkten der Comtarsia SignOn Solutions hinzugefügt und ermöglicht die Definition von Voraussetzungen für eine Vertrauensstellung zwischen den einzelnen Komponenten.

Die folgenden Optionen sind möglich.
• Keine Überprüfung (NO_CHECK = 0)
• Vertrauensstellung anhand der IP-basierenden „Accept List“ (ACCEPT_LIST = 1) [bisher einzige Option]
• Vertrauensstellung anhand von Zertifikat OIDs (CERT_OIDS = 2)
• Überprüfung, ob das verwendete Zertifikat mit dem Hostnamen übereinstimmt. (CERT_FQDN = 0x100)

„DWORD:HKLM\SOFTWARE\PCS\GINA\ComtSyncClient\ trustOptionsClient“

Dieser Parameter definiert, welche Voraussetzungen ein SignOn Proxy erfüllen muss, zu dem sich der Logon Client verbindet, um eine Vertrauensstellung herzustellen.

Mögliche Werte: NO_CHECK und/oder CERT_OIDS
Zusätzlich optional CERT_FQDN

Comtarsia SignOn Gate 2006  
(6. April 2006)

Build 1.2.9.x

Behobene Fehler:

- SignOn Agent System Windows ADS: Es wurde ein Fehler behoben, wodurch bei einem existierenden Benutzer mit nicht synchronem Passwort am Ressourcesystem einige Benutzer-Attribute (Principal name, sur name, given name) nicht synchronisiert wurden.


Neue Funktionen bzw. Funktionsänderungen:

- SignOn Agent System Windows ADS:
Bei einem Start des Domain Controller, versucht der Agent nun länger, eine Verbindung zum Active Directory herzustellen. Der bisherige Wert von 30 Sekunden wurde auf 2 Minuten verlängert.

- SignOn Agent System Windows ADS:
Automatisches Zurücksetzen von „Account expire“.
Haben Benutzerkonten, welche automatisch durch den Agent verwaltet werden ein „Account expire“ gesetzt und ist die Option „User Account Expire Time“ nicht aktiv, so wird das „Account expire“ durch den Agent automatisch zurückgesetzt.

- SignOn Agent System Windows ADS: Neue Policy Flags, mit welchen die auszuführenden Active Directory Synchronisationsoperationen genauer gesteuert werden können.
("HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_Sys_2006\SYSTEM\syncPolicy(DWORD)"
o Bit: Set ADS Principal name = 0x10000
Der Principal name wird erzeugt aus dem Kurznamen des Benutzers + dem Namen der Active Directory Domain (z.B.: UID@adsdom1.comtarsia.com)
o Bit: Set given and sur name = 0x20000
Diese Attribute werden nach Informationen im LDAP Benutzerobjekt befüllt. (givenName und sn)
o Bit: Enable OU Move = 0x40000
Ist diese Policy aktiv, so wird der Benutzer bei Bedarf in eine andere OU verschoben. Die OU-Move Funktionalität kann über das OU Mapping im Agent Konfigurator gesteuert werden. Die Information, welcher OU der Benutzer zugehörig ist, wird am Proxy aus dem LDAP Directory anhand der Einstellung AttributeBasedOU ermittelt.
o Bit: Enable Sync Attributes = 0x80000
Dieses Policy-Bit aktiviert die “Sync Attributes” Funktionalität. Details siehe unten!

- SignOn Proxy Failover Logik
Das Verhalten des SignOn Proxy Agent-Failover wurde verändert.
Schickt ein Agent innerhalb des konfigurierten Timeouts keine Antwort, so wird dieser Agent nicht wie bisher als “fehlerhaft” eingestuft, wodurch auch kein Failover auf einen zweiten Agent mehr durchgefuehrt wird.

- SignOn Proxy / SignOn Agent Log
Neuer Registry Wert “Log\logCertInfo(DWORD)”: Ist dieser Wert auf “1” gesetzt, so werden im Log Informationen über die verwendeten SSL-Zertifikate ausgegeben.

- SignOn Agent System Windows ADS: Sync Attributes
Mittels dieser neuen Funktion können LDAP Attribute des Benutzerobjektes auf frei definierbare Attribute des Active Directory Benutzerobjektes gemappt werden.
Die Konfiguration der SyncAttributes erfolgt an zwei Stellen:
Am SignOn Proxy werden im Registry Wert „LDAP\SyncAttributes(REG_SZ)“ alle Attribute aufgeführt, welche aus dem LDAP Benutzerobjekt ausgelesen und an die Ressourcesysteme weitergeschickt werden sollen. Es können bis zu zwanzig Attribute, separiert mit einem Beistrich oder Strichpunkt, angegeben werden. Z.B. SyncAttributes=“telephoneNumber, physicalDeliveryOfficeName“
Zusätzlich muss man „LDAP\enableSyncAttributes(DWORD)“ auf “1“ setzen.

Auf den SignOn Agents kann nun ein Mapping dieser LDAP Attribute auf AD Attribute erfolgen. Hierzu muss ein neuer Registry Key „SyncAttributes“ unter „Comtsoa_sys_2006“ angelegt werden, in welchem das Mapping mittels Registry Strings (REG_SZ) konfiguriert wird.
Der Name bezeichnet den Namen des LDAP Attributes, der Wert steht für den Namen des Active Directory Attributes. zB:
„ou“=„department“
„street“=„streetAddress“
„l“=„l“

- Neues Feature „Trust Options“:
Dieses Feature wurde bei allen Produkten der Comtarsia SignOn Solutions hinzugefügt und ermöglicht die Definition von Voraussetzungen für eine Vertrauensstellung zwischen den einzelnen Komponenten.

Die folgenden Optionen sind möglich.
• Keine Überprüfung (NO_CHECK = 0)
• Vertrauensstellung anhand der IP-basierenden „Accept List“ (ACCEPT_LIST = 1) [bisher einzige Option]
• Vertrauensstellung anhand von Zertifikat-OIDs (CERT_OIDS = 2)
• Überprüfung, ob das verwendete Zertifikat mit dem Hostnamen übereinstimmt. (CERT_FQDN = 0x100)

SignOn Agent:
„DWORD:HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_SYS_2006\ CORE\trustOptionsServer“

Dieser Parameter definiert, welche Voraussetzungen ein sich zum SignOn Agent verbindender SignOn Proxy erfüllen muss, um eine Vertrauensstellung herzustellen.

Mögliche Werte: ACCEPT_LIST und/oder CERT_OIDS
Zusätzlich optional CERT_FQDN

SignOn Proxy:
„DWORD:HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\ Parameter\trustOptionsServer“

Dieser Parameter definiert, welche Voraussetzungen ein SignOn Agent erfüllen muss, zu dem sich der SignOn Proxy verbindet, um eine Vertrauensstellung herzustellen.

Mögliche Werte: NO_CHECK und/oder CERT_OIDS
Zusätzlich optional CERT_FQDN
„DWORD:HKLM\SYSTEM\CurrentControlSet\Services\ComtSOP_2006\ Parameter\trustOptionsClient“

Dieser Parameter definiert, welche Voraussetzungen ein sich zum SignOn Proxy verbindender Client (Logon Client bzw. Web Client) erfüllen muss, um eine Vertrauensstellung herzustellen.

Mögliche Werte: NO_CHECK und/oder CERT_OIDS
Zusätzlich optional CERT_FQDN

Web Client:
„DWORD:HKLM\SOFTWARE\Comtarsia\ComtSyncClientHttp\ trustOptionsClient“

Dieser Parameter definiert, welche Voraussetzungen ein SignOn Proxy erfüllen muss, zu dem sich der Web Client verbindet, um eine Vertrauensstellung herzustellen.

Mögliche Werte: NO_CHECK und/oder CERT_OIDS
Zusätzlich optional CERT_FQDN

Comtarsia Logon Client 2006  
(4. März 2006)

Build 4.1.10.4

Behobene Fehler:

- Fehler bei MinPWDLen = 0 und Passwortwechsel wurde behoben.
- Die Versionsnummer des Logon Client Installers wird nun richtig gesetzt.
- Die vom Installer erzeugten Shortcut-Namen wurden überarbeitet.
- Fehler im Terminal Server Modus unter Windows 2000 Server wurde beheben


Neue Funktionen bzw. Funktionsänderungen:

- Bisher wurde das UserLogonScript bei LDAP und Lokaler Anmeldung ausgeführt, ab nun wird es nur mehr bei einer LDAP (Online-) Anmeldung ausgeführt. Ein neues Script „LocalUserLogonScript“ wird nun bei einer lokalen (Offline) Anmeldung ausgeführt.
- Der Shutdown-Dialog wurde überarbeitet und bietet nun auch die Auswahl Standby und Hibernate

Comtarsia Logon Client 2006  
(1. März 2006)

Build 4.1.9.4

Behobene Fehler:

- Fehler im Logon Client Installer wurden behoben, sowie die Ausgabetexte wurden überarbeitet.
- Im Smart Card Modus wurden Probleme mit Standby bzw. Hibernate behoben.


Neue Funktionen bzw. Funktionsänderungen:

- Die Fehlertexte beim Entsperren des Bildschirms mit einer Smart Card wurden verbessert.
- Neuer Smart Card Mapping Modus: Mit dem Registry Key DWORD:PCS\GINA\LDAP\SCardMappingMode=1 kann ein neuer Mapping Modus aktiviert werden, wodurch:
1) das in der Registry eingestellte UserDNPrefix anstelle des auf der Smart Card vorgegebenen Prefixes verwendet wird.
2) die volle Benutzer DN nach der Anmeldung durch den Logon Client vom LDAP Server ermittelt wird und diese für die Abfrage von weiteren Informationen aus dem LDAP Directory verwendet wird.
- Die Log-Ausgaben während der LDAP Anmeldung wurden überarbeitet.
- Im LDAP Logon Smart Card Modus wird das SessionPassword mit dem Benutzerzertifikat verschlüsselt im Benutzerprofil abgelegt, so dass eine Offline-Anmeldung mit den lokal gespeicherten Profil mit der Smart Card möglich ist.

Comtarsia SignOn Gate 2006  
(20. Februar 2006)

Build 1.2.8.x


Neue Funktionen bzw. Funktionsänderungen:
- SOA System Windows: Neuer Parameter HKLM\CurrentControlSet\Services\ComtSOA_SYS_2006\SYSTEM\ alwaysCheckACL:DWORD=0/1 (Default 1)

Ist dieser Parameter auf „0“ gesetzt, so wird die Homedir/Profile Path ACL nur geprüft, wenn der Benutzer bzw. das Homedir/ der Profile Path neu angelegt wurde.

Ist dieser Parameter auf „1“ gesetzt, so wird die Homedir/Profile Path ACL bei jedem SyncRequest geprüft.

- SOP Windows: Das Timeout-Verhalten beim Starten des LDAP Verify Prozesses wurde so geändert, dass nun immer bis zum Ablaufen des Timeouts gewartet wird.

- Die Standard-Startzeit des Security Agent/Windows wurde auf 01:00 geändert.

- SOA System Windows (ADS): Der vom SignOn Agent benötigte Administrator Token wird nun automatisch alle 24 Stunden neu erstellt. In der Active Directory Standardkonfiguration kann ein Kerberos Ticket max. 7 Tage erneuert werden. Probleme beim Remotezugriff (z.B. ACL setzen oder Benutzerverzeichnis erstellen), wurden damit behoben.

- Security Agent Windows: Im Active Directory Modus, bei mehr als einem Domain Controller und SignOn Agent für eine Domäne, steht nun der „User Description Mode“ zur Verfügung. In diesem Modus wird die Logon Zeit des letzten erfolgreichen SignOn Requests vom SignOn Agent in das Benutzer Beschreibungsfeld eingetragen (Beispiel: SERV_TMP_USER_2006_02_15_12_16). Durch die Active Directory Domänenreplikation steht dann jedem Security Agent die aktuelle und vollständige Information zur Verfügung. Im Datenbankmodus wird die lokale Datenbank zwischen SignOn Agents derzeit nicht repliziert, und somit stehen dem Security Agent Anmeldezeiten, welcher ein anderer SignOn Agent für einen bestimmten Benutzer durchgeführt hat, nicht zur Verfügung. Daher empfehlen wir beim Einsatz mit Active Directory den „User Description Modus zu wählen.

- SOA System Windows (ADS): Ein neuer Security Schalter ermöglicht das automatische Setzten der „User Account Expire Time“ des Active Directory User Accounts entsprechend der SignOn Agent TTL Einstellung. Optional kann zusätzlich der Security Agent nach einer weiteren inaktiven Periode für ein automatisches Entfernen des User-Accounts verwendet werden.

Comtarsia Logon Client 2006  
(13. Februar 2006)

Build 4.1.8.4

Behobene Fehler:

- LocationMode: Die aktuelle Location des Benutzers wird nun direkt im Zuge der Anmeldung ermittelt und gleichzeitig wurde ein Fehler behoben, der bei einem PC ohne Netzwerkanschluss zu einer falschen Fehlermeldung geführt hat.
- Ein Problem beim Passwortwechsel über den ON-SAS-Dialog wurde behoben.


Neue Funktionen bzw. Funktionsänderungen:

- Neuer Parameter für den Logon Client Installer zum Entpacken aller Dateien ohne Installation. Dies ersetzt das bisherige Softwareverteilungs-ZIP.
Den Installer mit dem Parameter /MODE=UNPACK aufrufen.
Dies erzeugt ein Verzeichnis mit dem Namen „CLC_2006-VERSION“, in welchem sich nun alle für eine Softwareverteilungsinstallation benötigten Dateien befinden.

Comtarsia Logon Client 2006  
(9. Februar 2006)

Build 4.1.7.4

Behobene Fehler:

- Ein Fehler in ComtMSSO wurde behoben, der in gewissen Situationen zu einem Nicht-Reagieren des Internet Explorers geführt hat.
- Ein Fehler mit den Benutzer-Credentials in ComtMSSO wurde behoben
- LDAPSetSessionPassword unterbindet im Fehlerfall die Anmeldung des Benutzers
- UserLogonScript und AdminUserLogon Script haben bisher den System Environmentblock vererbt bekommen, ab dieser Version bekommen Sie den User Environmentblock vererbt.


Neue Funktionen bzw. Funktionsänderungen:

- Im LDAP Logon PWD Modus (bei HKLM\software\pcs\gina\EnableSessionPassword = 1) wird das SessionPassword mit dem Benutzerpasswort verschlüsselt im Benutzerprofil abgelegt, so dass eine Offline-Anmeldung mit dem lokal gespeicherten Profil, mit dem für den Benutzer bekannten LDAP Passwort möglich ist.
- Neuer Registry Key DWORD PCS\GINA\LDAP\LDAPDontSendOldPasswordOnChange=0/1
Ist dieser Registry Key auf “1” gesetzt, so wird bei einem Passwortwechsel im LDAP immer nur das neue Passwort gesetzt.
Ist dieser Registry Key auf “0” gesetzt bzw. nicht vorhanden, so wird bei einem Passwortwechsel das alte und das neue Paswort an den LDAP Server geschickt.
- Neuer Installer
Das Installationsprogramm des Comtarsia Logon Client wurde komplett überarbeitet. Nun ist auch ein Update einer vorhandenen Installation möglich, die Konfiguration wird beibehalten.

Comtarsia SignOn Gate 2006  
(19. Jänner 2006)

Build 1.2.7.x

Neue Funktionen bzw. Funktionsänderungen:
Der Comtarsia SignOn Agent unterstützt nun Proxy Accept Listen mit bis zu hundert Einträgen.

Comtarsia Logon Client 2006  
(17. Jänner 2006)

Build 4.1.6.4

Behobene Fehler:

- Ein Fehler bei der LDAP Anmeldung wurde behoben, der bei LDAPSearchForUser=1 in Kombination mit einem nicht erreichbaren LDAP Server auftrat.

- Ein XP Remote Desktop Problem wurde behoben

- Leerzeichen vor und nach dem Benutzernamen, welche unabsichtlich im Feld “Benutzername” im Logon Panel getippt werden können, werden abgeschnitten und für die LDAP Anmeldung nicht übernommen.

- Citrix Presentation Server Unterstützung
Citrix Pass-through Authentication und Citrix Anonymous User Applikations werden erkannt und es wird sofort eine Windows Anmeldung durchgeführt. (Der LDAP Logon Dialog erscheint nur mehr wenn keine gültigen Windows Anmelde Informationen in den Autologon Informationen zur verfügung stehen)

Damit diese Funktionalität gewährleistet ist, muss eine Gina Kaskadierung mit der Citrix Gina „ctxgina.dll“ vorgenommen werden. Dies wird durch folgende Einstellung erreicht:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"CtxGinaDLL"="pcs_gina.dll"
"GinaDLL"="ctxgina.dll"


Neue Funktionen bzw. Funktionsänderungen:

- Verbesserte Unterstützung für LDAP Smart Card Anmeldung bei OpenLDAP
- Verbesserte Unterstützung für LDAP Password Policy Controls lt. IETF draft-behera-ldap-password-policy-09.txt
- Citrix Passthrough und Citrix Anonymous Logon mit Citrix Metaframe Server wurde realisiert.
- Neuer Parameter “DWORD:LDAPSetSessionPassword=1”. Hierdurch wird das bei einer Smartcard Anmeldung generierte Session Password ins LDAP zurückgeschrieben, wodurch dem SignOnProxy eine Prüfung der Clients auch im Mischbetrieb möglich ist.

Comtarsia SignOn Gate 2006  
(17. Jänner 2006)

Build 1.2.6.x

Neue Funktionen bzw. Funktionsänderungen:
Verbesserte Unterstützung für LDAP Password Policy Controls lt. IETF draft-behera-ldap-password-policy-09.txt

Comtarsia Logon Client 2006  
(5. Dezember 2005)

Build 4.1.5.4

Behobene Fehler:
Problem bei Bildschirmsperren mit Bildschirmschoner wurde behoben.

Neue Funktionen bzw. Funktionsänderungen:
- Managed Single SignOn
- Wildcard für den „Location“-Mode (LocationWildcard)

Leerzeichen im Feld „Benutzername“

Leerzeichen vor und nach dem Benutzernamen, welche unabsichtlich im Feld “Benutzername” im Logon Panel getippt werden können, werden abgeschnitten und für die LDAP Anmeldung nicht übernommen.

Der Passwortwechseldialog, welcher während der LDAP Anmeldung in der Grace Login Period automatisch erscheint, kann nicht mehr umgangen werden. (Abbrechen ist deaktiviert).

Erweiterungen des Smart Card Modus
PKI-PWD-Dual Mode SCardEnable 2

Comtarsia SignOn Gate 2006  
(5. Dezember 2005)

Build 1.2.5.x

Behobene Fehler:
SignOn Proxy UNIX (Modul comt_ldap):
- Fehler in der Logausgabe wurde behoben.
- Die Log-Datei wird nun unter „log“ anstelle von „/var/log“ geschrieben.
- Der Loglevel wird richtig ausgewertet.

SignOn Agent Windows:
- Beim Starten des SignOn Agents Services im ADS Modus konnte es wenn das ADS noch nicht vollständig initialisert war zu einem SignOn Agent Initialisierungsfehler kommen.

WebClient Windows:
- Die Versionsnummer wird ausgelesen und an den SignOn Proxy übergeben


Neue Funktionen:

SignOn Agent Windows:
- Die SignOn Agent Policy Options wurden auf weitere Flags erweitert.
("HKLM\SYSTEM\CurrentControlSet\Services\ComtSOA_Sys_2006\SYSTEM\syncPolicy(DWORD)"
o Bit: Set User Account expire time = 0x80
Wenn dieses Bit gesetzt ist, wird bei jedem User Logon im User Objekt das Account Expired Feld gesetzt. Der Wert wird in Abhängigkeit vom Security Agent Parameter "HKLM\SYSTEM\CurrentControlSet\Services\ComtSECA_Sys_2006\CORE\usrInactiveDisable(DWORD)" berechnet.
o Bit: Set User Last Logon Time = 0x100
Wenn dieses Bit gesetzt ist, wird bei jedem User Logon im User Objekt das Description Feld auf die last logon time gesetzt. Dieses Feld wird vom Security Agent im ADS Modus ausgewertet.

Security Agent:
- Neuer Modus des Security Agents in dem auch über das ADS replizierte Benutzer deaktiviert bzw. gelöscht werden können.
- Delete User Objekt Policy
Ist diese Policy aktiviert, so wird nach Ablauf des Parameters "usrInactiveDelete" der Benutzer gelöscht.
- Neuer Parameter "HKLM\SYSTEM\CurrentControlSet\Services\ComtSECA_Sys_2006\CORE\secPolicy(DWORD)"
ADS Modus = 0x2
Delete User Object = 0x4

Comtarsia Logon Client 2006  
(9. November 2005)

Build 4.1.4.4

Behobene Fehler:
Behebung eines Fehlers bei einer ADS Offline Anmeldung

Comtarsia SignOn Gate 2006  
(9. November 2005)

Build 1.2.4.x

Behobene Fehler:
Fehler beim Anlegen eines Benutzers unter ADS in der Default OU

Comtarsia SignOn Gate 2006  
(9. November 2005)

Build 1.2.3.x (8. November 2005)

Behobene Fehler:
Es wurde ein Installer-Fehler behoben, welcher die Parallelinstallation mit dem SignOnGate 2003 verhinderte.

Comtarsia Logon Client 2006  
(8. November 2005)

Build 4.1.3.4

Behobene Fehler:
Behebung eines Fehlers bei einer ADS Offline Anmeldung (Prefix)

Comtarsia SignOn Gate 2006  
(8. November 2005)

Build 1.2.3.x

Behobene Fehler:
Es wurde ein Installer-Fehler behoben, welcher die Parallelinstallation mit dem SignOnGate 2003 verhinderte.

Comtarsia Logon Client 2006  
(31. Oktober 2005)

Build 4.1.2.4

Behobene Fehler:
Falscher Fehlerrückgabewert bei einer LDAP Benutzeranmeldung mit SSL und IBM Directory Server 5.x, wenn der LDAP Server netzwerktechnisch nicht erreichbar ist. Dies verhindert eine Active Directory „Cached Credentials“-Anmeldung.

In seltenen Fällen kam es bei einer LDAP SSL Anmeldung während des Verbindungsaufbaus mit dem LDAP Server zu einem „Undefined LDAP Error“.

Im deutschen Installshield wurde noch ein Shortcut mit „2003“ angelegt.

Comtarsia SignOn Gate 2006  
(31. Oktober 2005)

Build 1.2.2.x

Behobene Fehler:
Bei der Anlage des SignOn Agent Benutzers wurde die Groupmapping-Liste und die „Except groups“-Liste beachtet. Dadurch konnte der Benutzer nicht immer mit den richtigen Gruppenmitgliedschaften angelegt werden.

Am SignOn Proxy wurde bei einer Web Client Anmeldung die erweiterte IBM DS 5.1 Passwort Policy nicht immer korrekt interpretiert.

Fehler bei der Lizenzueberpruefung vom SignOn Agent unter Linux.