de

TightGate-Viewer für Microsoft Windows

Allgemeines

Die über den Support-Bereich der m-privacy GmbH bereitgestellten Installationsdateien sind ausführbare MSI-Pakete und enthalten bereits alle benötigten Komponenten zur Audioübertragung und für das Drucken. Mit Ihnen wird auf dem Desktop des Arbeitsplatz-PCs ein neues Icon angelegt, welches die Bezeichnung "Internet" trägt. Um per Doppelklick den TightGate-Viewer erfolgreich zu öffnen, müssen zuerst ein paar Konfigurationsschritte durchgeführt werden. Diese werden unter Umsetzung erläutert.

Hintergrundwissen

Es gibt zwei Arten von Konfigurationsdateien: eine systemweite und eine benutzerspezifische. Die systemweite Konfigurationsdatei befindet sich auf 64-bit Systemen unter:

%PROGRAMFILES(X86)%\TightGate-Pro\tgpro.cfg

oder auf 32-Bit-Systemen unter:

%PROGRAMFILES%\TightGate-Pro\tgpro.cfg

Die benutzerspezifische Konfigurationsdatei ist im jeweiligen Benutzerkonto des Klientenrechners zu finden unter :

%APPDATA%\vnc\tgpro.vnc

Wird der TightGate-Viewer ohne spezielle Parameter gestartet, dann liest dieser seine Konfiguration aus der benutzerspezifischen Konfigurationsdatei. Ist eine solche noch nicht vorhanden, dann liest der TightGate-Viewer die systemweite Konfigurationsdatei aus und legt bei Beendigung der Sitzung eine benutzerspezifische Konfigurationsdatei an. In dieser werden alle Änderungen gespeichert, die der User während einer Sitzung selbst vornimmt.

Hinweise: Zur Änderung der systemweiten Konfigurationsdatei tgpro.cfg sind Administratorrechte auf dem Zielsystem erforderlich. Nach dem ersten Start des TightGate-Viewers wird für den jeweiligen Benutzer eine spezifische Konfigurationsdatei tgpro.vnc angelegt und fortan ausschließlich genutzt. Eventuelle spätere Änderungen an der systemweiten tgpro.cfg werden ignoriert, solange eine benutzerspezifische existiert. Änderungen müssen folglich entweder an der benutzerspezifischen Datei erfolgen oder alternativ kann die systemweite Datei angepasst werden, jedoch muss dann die benutzerspezifische Datei gelöscht werden. Sie wird dann beim nächsten Programmstart automatisch aus der systemweiten Datei erzeugt.

Umsetzung

Das wird benötigt:

→ Klientensoftware für TightGate-Pro aus dem Download Center der m-privacy GmbH herunterladen.

Hinweis: Bitte achten sie darauf, dass sie das für Ihre Authentisierungsmethode passende Paket herunterladen (Passwort-Anmeldung oder SSO).

So geht's:

  • Das MSI-Paket der Klientensoftware ausführen
  • Bei Anmeldung mit Passwort:
    • Die Datei %PROGRAMFILES(X86)%\TightGate-Pro\tgpro.cfg (64Bit System) bzw. %PROGRAMFILES%\TightGate-Pro\tgpro.cfg (32Bit System) öffnen und den ServerName anpassen → entweder IP oder auflösbaren DNS Namen von TightGate-Pro eintragen
    • Bei Doppelklick auf dem Icon der Anwendung erscheint ein Anmeldefenster in dem Benutzername und Passwort einzugeben sind
    • Die Datei %APPDATA%\vnc\tgpro.vnc wird beim Schließen des Viewers automatisch angelegt und fortan für die Anmeldung verwendet
  • Bei SSO Anmeldung mit Zertifikaten:
    • Am TightGate-Pro sind mittels der Administratorrolle maint SSL-Schlüssel für die Benutzer anzulegen und zu exportieren, wie unter Benutzerverwaltung per Benutzerzertifikaten beschrieben
    • Sofern unter %APPDATA% noch kein Ordner vnc liegt ist dieser anzulegen
    • Mittels WinSCP (wird bei Installation der Schleuse automatisch mit installiert) ist der User transfer am TG-Pro Server anzumelden
    • Der gesamte Inhalt des Ordners /home/user/.transfer/config/certs/<Benutzername> ist in den lokalen Ordner %APPDATA%\vnc zu kopieren
    • Bei Doppelklick auf das Internet-Icon auf dem Arbeitsplatz, wird der Benutzer unter Verwendung des Zertifikats angemeldet.
    • %APPDATA%\vnc\tgpro.vnc wird beim Schließen des Viewers automatisch angelegt und fortan für die Anmeldung verwendet.
  • Bei Anmeldung mittels Active Directory:
    • Die Datei %PROGRAMFILES(X86)%\TightGate-Pro\tgpro.cfg (64Bit System) bzw. %PROGRAMFILES%\TightGate-Pro\tgpro.cfg (32Bit System) öffnen und folgende Parameter anpassen:
      • ServerName → den auflösbaren DNS Namen von TightGate-Pro eintragen
      • krbhostname → den auflösbaren DNS Name von TightGate-Pro eintragen
    • Bei Doppelklick auf das Internet-Icon auf dem Arbeitsplatz, wird der Benutzer angemeldet.
    • %APPDATA%\vnc\tgpro.vnc wird beim Schließen des Viewers automatisch angelegt und fortan für die Anmeldung verwendet.

Nutzung der automatischen Dateischleuse

Allgemeine Funktion

Alternativ oder ergänzend zur manuellen Dateischleuse ist eine automatische Schleusenfunktion in TightGate-Pro integriert. Damit lassen sich Downloads automatisch auf den Arbeitsplatzrechner transferieren. Jeder Benutzer verfügt dabei innerhalb des Ordners transfer auf TightGate-Pro über einen Unterordner namens autotransfer. Alle Dateien, die dort abgelegt werden, durchlaufen wie gewohnt den Malware- und MIME-Typen-Filter. Bleibt die Prüfung beanstandungsfrei, erfolgt die automatische Übertragung auf den Arbeitsplatzrechner. Dort wird die Datei im lokalen Ordner autotransfer abgelegt, der sich im Windows-Standardordner Downloads befindet. Der manuelle Abruf über die TightGate-Schleuse bleibt wahlweise möglich. Das lokale Zielverzeichnis der automatischen Dateischleuse ist frei konfigurierbar.

Das wird benötigt:

→ Aktueller TightGate-Viewer
→ Global aktivierte Dateischleuse

So geht's:

  • Anmeldung als Administrator config.
  • Auswahl des Menüpunkts System-Vorgaben > Auto-transfer erlauben. Globale Aktivierung der automatischen Dateischleuse durch Auswahl Ja.
  • Nach der Aktivierung der automatischen Dateischleuse erscheint ein neuer Menüpunkt mit der Bezeichnung Auto-Download-Klienten-Ordner. Hier kann ein Zielordner festgelegt werden, in den die halbautomatische Dateischleuse die Downloads von TightGate-Pro auf dem Klientenrechner ablegt. Sofern die Zielordner in der lokalen Konfigurationsdatei am Arbeitsplatz geändert wurden, sollte hier kein Wert gesetzt werden, da dieser den Wert in der lokalen Konfigurationsdatei überschreibt.
    Hinweis: Für den Zielpfad können auch Windows-Umgebungsvariablen wie z.B %USERPROFILE% etc. verwendet werden.
  • Über die Menüpunkte Speichern und Sanft Anwenden, die Einstellungen übernehmen. Nach dem Anwenden bekommen alle neu angemeldeten Benutzer einen Ordner autotransfer als Unterordner im normalen Transfer-Verzeichnis angelegt.
  • Auf Klientenseite (dem APC) ist zu prüfen, ob das Verzeichnis autotransfer im Download-Verzeichnis des Benutzers angelegt wurde. Sofern das Verzeichnis nicht existiert, ist das Verzeichnis anzulegen. Ist über den Menüpunkt Auto-Download-Klienten-Ordner ein anderes Zielverzeichnis angegeben, so sollte geprüft werden, ob dies Klientenseitig existiert.

Konfigurationsoptionen

Bei der Benutzerverwaltung via Active-Directory erfolgt die benutzerspezifische Zuordnung zur automatischen Dateischleuse über die Mitgliedschaft in der Sicherheitsgruppe TGtransferAuto. Details zu den Sicherheitsgruppe für TightGate-Pro finden Sie hier.

Das Zielverzeichnis auf dem Arbeitsplatz-PC, wohin die automatischen Downloads abgelegt werden kann individuell eingestellt werden. Dazu muss die Datei tgpro.vnc im Verzeichnis %APPDATA%\vnc angepasst werden. Der Pfad wird in der Zeile mit dem Attribut autotransferFolder eingestellt. Im Standard sieht die Zeile folgendermaßen aus:

 autotransferFolder=%userprofile%\\Downloads\\autotransfer

Hinweise für Terminalserver-Anlagen (z. B. CITRIX)

Die Nutzung von TightGate-Pro über Terminalserver-Anlagen ist möglich. Grundsätzlich erfolgt die Installation der Klientensoftware analog zur Vorgehensweise bei dedizierten Arbeitsplatzstationen. Es bestehen jedoch einige Besonderheiten im Hinblick auf die störungsfreie Bildschirmdarstellung sowie bei den notwendigen Portfreigaben für die Audioübertragung.

Mauszeiger:

Es wird empfohlen, die Option Lokalen Mauszeiger statt Server-Mauszeiger verwenden in den Viewern zu aktivieren. Dies kann auf unterschiedlichen Wegen geschehen.

Bei Anmeldung per Single Sign-on (SSO):

  • Vor der Erstellung der Zertifikate ist als Administrator config die Option config > Einstellungen > Authentisierung > Windows-Cursor in Klienten-Konfig. zu aktivieren. Danach müssen die Zertifikate neu erzeugt und verteilt werden. Die Viewer-Applikationen werden daraufhin automatisch so umgeschaltet, dass statt des Mauszeigers von TightGate-Pro der Zeiger des Terminalservers angezeigt wird. Dies verhindert auf den Klientenrechnern Verzögerungen und Doppelbilder bei der Darstellung des Mauszeigers in Verbindung mit TightGate-Pro.

Bei Anmeldung per Passwort:

  • Die Einstellung wird im TightGate-Viewer entweder manuell über das Programm-Menü (F8 > Einstellungen …, Registertaste Eingabemethode, Bereich Maus) oder per Konfigurationsdatei tgpro.vnc (Parameter UseLocalCursor, Datei zu finden in %APPDATA%\vnc) getroffen.

Audioübertragung:

Um den Ton bei Terminalserver-Anlagen an den richtigen Klientenrechner übertragen zu können, ist es erforderlich statt dem Standardaudioport einen Wertebereich einzustellen. Hierfür ist mit der Administrationsrolle config unter Einstellungen > Pulseaudio Extra-Ports ein Wertebereich einzustellen und im Anschluss sind mit der Administrationsrolle maint die Nutzerzertifikate neu zu erstellen und zu verteilen. Alternativ kann auch eine manuelle Anpassung der tgpro.vnc Datei (zu finden in %APPDATA%\vnc) erfolgen. In diesem Fall müssen die Zeilen PAPortMin=<Startwert> und PAPortMax=<Endwert> ergänzt bzw. angepasst werden.

Bei jeder Anmeldung des Benutzers wird nun automatisch ein freier Port gesucht und für die Dauer der Sitzung reserviert. Somit werden Kollisionen mit anderen Klientenrechnern verhindert.

Hinweise zum Vollbildmodus / Umschaltung zwischen Applikationen

Mit der Tastenkombination ALT+Tab kann zwischen laufenden Applikationen umgeschaltet werden. Sofern der TightGate-Viewer im Fenster-Modus betrieben wird, wirkt sich ALT+Tab nur auf die Umgebung außerhalb des TightGate-Viewers aus. Im Vollbild-Modus wird hingegen zwischen laufenden Applikationen innerhalb des TightGate-Viewers gewechselt.

Dieses Verhalten kann dahingehend geändert werden, dass auch im Vollbild-Modus ALT+Tab nicht an TightGate-Pro weitergegeben wird. Die Tastenkombination wirkt sich dann in jedem Fall ausschließlich auf die Umgebung außerhalb des TightGate-Viewers aus. Um dieses Verhalten zu konfigurieren, kann in der Konfigurationsdatei des TightGate-Viewers der Parameter FullScreenSystemKeys=0 gesetzt werden.

Alternativ kann im Fenstermenü des TightGate-Viewers (Aufruf mit F8) unter Einstellungen > Eingabemethoden > Systemtasten direkt zum Server senden der Haken entfernt werden.

Aufruf des TightGate-Viewers ohne Verwendung von tgpro.conf und tgpro.vnc

Soll z. B. für Testzwecke einmalig eine abweichende Konfiguration verwendet werden, ohne diese zu speichern oder vorherige Werte zu übernehmen, kann der Viewer per Konsole mit der Option -noconfig und beliebig vielen weiteren Optionen aufgerufen werden.

Beispiel: C:\Program Files (x86)\TightGate-Pro\vncviewer.exe -noconfig

Führt man diesen Beispielaufruf aus, werden die IP des Servers und die Zugangsdaten des Benutzers in folgenden Dialogen abgefragt.

Mit mehreren Benutzern auf einem Rechner arbeiten

Es ist möglich mehrere Verknüpfungen des TightGate-Viewers auf dem Desktop anzulegen und diese mit unterschiedlichen Konfigurationen zu belegen. Hierfür ist per Rechtsklick auf dem Icon das Menü Einstellungen und der Reiter Verknüpfung auszuwählen. Unter Ziel ist nun nach der Angabe des Programmpfades mit -configdir=<Pfad> der Pfad zu dem Ordner mit der zu nutzenden Konfigurationsdatei anzugeben. In diesem Ordner müssen für das Anmeldeverfahren SSO auch alle Nutzerzertifikate abgelegt werden.

Hinweise: Bei der Angabe des Pfades ist jeder Backslash mit einem weiteren zu maskieren (Bsp.: C:\\Users\\benutzername\\…). Würde man statt der Angabe eines abweichenden configdir beliebige andere Optionen angeben, würden diese in die tgpro.vnc Datei im Standardverzeichnis (%APPDATA%\vnc) übernommen werden. Bei mehreren Verknüpfungen des Viewers würden diese also gegenseitig ihre Konfigurationen überschreiben und sich nur in den in der Verknüpf angegebenen Werten unterscheiden. Sofern es also gewünscht ist auch alle anderen Optionen, die nicht manuell angegeben wurden, wie z. B. die Größe des Fensters, zu übernehmen, sind zwingend mehrere tgpro.vnc Dateien erforderlich.

Appendix zu Konfigurationsoptionen

In der Regel besteht keine Notwendigkeit die tgpro.vnc Datei im %APPDATA%\vnc Verzeichnis oder die Vorlage unter %PROGRAMFILES(X86)%\TightGate-Pro nach Eintragung der Verbindungsoptionen manuell zu bearbeiten.

Die nachfolgende Liste gibt dennoch eine Übersicht über verschiedene Optionen und Parameter.

Aufrufparameter (Angabe beim Programmaufruf):

ParameterBeschreibung
ConfigDirGibt das Verzeichnis an, in dem die zu verwendende tgpro.vnc Datei sowie Zertifikate, etc. liegen
noConfigEs wird weder die tgpro.vnc noch tgpro.cfg verwendet und die Einstellungen werden auch nicht beim Schließen gespeichert.
rwConfigSoll das Standardverzeichnis (%APPDATA%\vnc) weiterhin genutzt werden und nur ein anderer Pfad für den Aufruf der tgpro.vnc Datei verwendet werden, kann dieser hiermit angegeben werden.

Hinweis: Bei Pfadangaben muss jeder Backslash mit einem weiteren maskiert werden!

Optionen (Angabe in tgpro.cfg bzw. tgpro.vnc):

OptionenBeschreibung
x509keyBei SSO Anmeldung werden Benutzerzertifikate benötigt. Der Pfad zu Ihnen kann hiermit angegeben werden (Standard ist das %APPDATA%\vnc Verzeichnis)
x509cert
x509CA
SecurityTypesHiermit wird angegeben, welches Verfahren für die Anmeldung verwendet werden soll. Sind mehrere Methoden benannt, wird diejenige gewählt, die zuerst gefunden wird. (z.B. TLSPlain → Benutzername und Passwort, x509Cert → SSO mit Zertifikaten, TLSKrb → Active Directory, …)
krbserviceBezeichnung des Kerberos Dienstes ( Standard ist „host")
krbauthidKerberos Benutzername
PAPortMinBeginn des Wertebereichs für Pulseaudio Ports (anzugeben bei Terminal Clients)
PAPortMaxEnde des Wertebereichs für Pulseaudio Ports (anzugeben bei Terminal Clients)
Maximize (1=aktiv)Das Viewer Fenster öffnet sich immer in maximaler Größe
WinCursor (1=aktiv)Kann bei Terminal Clients verwendet werden um Verzögerungen in der Bilddarstellung zu reduzieren
QuickPrint (1=aktiv)Druckaufträge werden ohne Dialog direkt an den Standarddrucker weitergegeben
SoundSupport (1=aktiv)Der Ton kann damit aktiviert oder deaktiviert werden. (Wurde der Ton seitens maint deaktiviert, nützt eine Einstellung hiermit trotzdem nichts.)
Menukey (Default=F8)Viele Einstellungen lassen sich nach Aufruf des Viewers über ein grafisches Menü vornehmen, ohne die Konfigurationsdateien manuell anzupassen. Hiermit kann die Funktionstaste definiert werden, mit dem der Menüaufruf erfolgt.