Citrix ADC

Konfigurieren von erweiterten Authentifizierungsrichtlinien

Wenn Sie genau wissen, wie eine Authentifizierungsrichtlinie konfiguriert werden soll, können Sie die Richtlinie im Dialogfeld für erweiterte Authentifizierungsrichtlinien schnell erstellen.

So konfigurieren Sie eine erweiterte Authentifizierungsrichtlinie mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien, und wählen Sie dann Richtlinie aus.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:

    • Um eine neue Richtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.
  3. Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen oder Authentifizierungsrichtlinie konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.

    • Name - Der Richtlinienname. Für eine zuvor konfigurierte Richtlinie kann nicht geändert werden.
    • Aktionstyp - Der Richtlinientyp: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS oder WEBAUTH.
    • Aktion - Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Plus klicken und eine neue Aktion des richtigen Typs erstellen.
    • Protokollierungsaktion - Die Überwachungsaktion, die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Überwachungsaktion auswählen oder auf das Plus klicken und eine neue Aktion erstellen.
    • Ausdruck - Die Regel, die Verbindungen auswählt, auf die Sie die angegebene Aktion anwenden möchten. Die Regel kann einfach sein (true wählt den gesamten Datenverkehr) oder komplex. Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unterhalb des Ausdrucksfensters auswählen und dann den Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen, und verwenden Sie die Dropdownlisten darin, um Ihre Ausdruck.)
    • Kommentar - Sie können einen Kommentar eingeben, der den Typ des Datenverkehrs beschreibt, auf den diese Authentifizierungsrichtlinie angewendet wird. Optional.
  4. Klicken Sie auf Erstellen oder OK, und klicken Sie dann auf Schließen. Wenn Sie eine Richtlinie erstellt haben, wird diese Richtlinie auf der Seite Authentifizierungsrichtlinien und Server angezeigt.

Konfigurieren der Ausdrücke, um nach der vom Benutzer zugeordneten Gruppe zu suchen

Die Citrix ADC Appliance bietet dem Benutzer nun die Möglichkeit, die folgenden Möglichkeiten zu überprüfen:

  • Überprüfen Sie, ob der aktuelle Benutzer zu einer der genannten Gruppen gehört.
  • Überprüfen Sie, ob der aktuelle Benutzer Mitglied aller Gruppen ist.

Die folgenden zwei neuen Ausdrücke werden eingeführt, um die Benutzergruppe zu überprüfen:

  • is_member_of_ANY - Sie können diesen Ausdruck verwenden, um zu überprüfen, ob der aktuelle Benutzer zu einer der genannten Gruppen im zugehörigen Patset gehört.

So konfigurieren Sie den Is_Member_of_ANY-Ausdruck mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

-  add policy patset groups_patset
-  bind patset groups_patset mygroup1
-  bind patset groups_patset mygroup2
-  add expression any_group_check   "aaa.user.is_member_of_any(\"groups_patset\")"

Hinweis

Der obige Ausdruck gibt true zurück, wenn der Benutzer entweder zu mygroup1 oder mygroup2 gehört.

  • is_member_of_all - Sie können diesen Ausdruck verwenden, um zu überprüfen, ob der Benutzer Mitglied aller Gruppen ist, auf die durch das Patset verwiesen wird.

So konfigurieren Sie den Is_Member_of_All-Ausdruck mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

-  add policy patset groups_patset
-  bind patset groups_patset mygroup1
-  bind patset groups_patset mygroup2
-  add expression any_group_check "aaa.user.is_member_of_all(\"groups_patset\")"

Hinweis

Der obige Ausdruck gibt true zurück, wenn der Benutzer sowohl zu mygroup1 als auch mygroup2 gehört.

Konfigurieren von erweiterten Authentifizierungsrichtlinien