ADC

Sitzungs- und Verkehrsmanagement

Sitzungseinstellungen

Nachdem Sie Ihre Authentifizierungs-, Autorisierungs- und Überwachungsprofile konfiguriert haben, konfigurieren Sie Sitzungseinstellungen, um Ihre Benutzersitzungen anzupassen. Die Sitzungseinstellungen sind:

  • Das Sitzungszeitlimit.

    Steuert den Zeitraum, nach dem der Benutzer automatisch getrennt wird, und muss sich erneut authentifizieren, um auf das Intranet zuzugreifen.

  • Die Standardeinstellung für die Autorisierung.

    Bestimmt, ob die Citrix ADC Appliance standardmäßig den Zugriff auf Inhalte zulässt oder verweigert, für die keine spezifische Autorisierungsrichtlinie vorhanden ist.

  • Die Einstellung für einmaliges Anmelden.

    Bestimmt, ob die Citrix ADC Appliance Benutzer automatisch bei allen Webanwendungen anmeldet, nachdem sie sich authentifiziert haben, oder übergibt Benutzer an die Anmeldeseite der Webanwendung, um sich für jede Anwendung zu authentifizieren.

  • Die Indexeinstellung für Anmeldeinformationen.

    Bestimmt, ob die Citrix ADC Appliance die primären oder sekundären Authentifizierungsanmeldeinformationen für Single Sign-On verwendet.

Um die Sitzungseinstellungen zu konfigurieren, können Sie einen von zwei Ansätzen verwenden. Wenn Sie unterschiedliche Einstellungen für verschiedene Benutzerkonten oder Gruppen wünschen, erstellen Sie ein Profil für jedes Benutzerkonto oder jede Gruppe, für die Sie benutzerdefinierte Sitzungseinstellungen konfigurieren möchten. Außerdem erstellen Sie Richtlinien, um die Verbindungen auszuwählen, auf die bestimmte Profile angewendet werden sollen, und binden die Richtlinien an Benutzer oder Gruppen. Sie können auch eine Richtlinie an den virtuellen Authentifizierungsserver binden, der den Datenverkehr verarbeitet, auf den Sie das Profil anwenden möchten.

Wenn Sie dieselben Einstellungen für alle Sitzungen wünschen oder die Standardeinstellungen für Sitzungen anpassen möchten, für die keine spezifischen Profile und Richtlinien konfiguriert sind, können Sie einfach die globalen Sitzungseinstellungen konfigurieren.

Sitzungsprofile

Um Ihre Benutzersitzungen anzupassen, erstellen Sie zunächst ein Sitzungsprofil. Mit dem Sitzungsprofil können Sie globale Einstellungen für einen der Sitzungsparameter außer Kraft setzen.

Hinweis:

Die Begriffe “Sitzungsprofil” und “Sitzungsaktion” bedeuten dasselbe.

So erstellen Sie ein Sitzungsprofil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Sitzungsprofil zu erstellen und die Konfiguration zu überprüfen:

add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction <name>
<!--NeedCopy-->

Beispiel

> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

So ändern Sie ein Sitzungsprofil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Sitzungsprofil zu ändern und die Konfiguration zu überprüfen:

set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction
<!--NeedCopy-->

Beispiel


> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

So entfernen Sie ein Sitzungsprofil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um ein Sitzungsprofil zu entfernen:

rm tm sessionAction <name>
<!--NeedCopy-->

So konfigurieren Sie Sitzungsprofile mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Sitzung.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Sitzung.
  3. Klicken Sie im Detailbereich auf die Registerkarte Profile.
  4. Führen Sie auf der Registerkarte Profile einen der folgenden Schritte aus:
    • Um ein neues Sitzungsprofil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes Sitzungsprofil zu ändern, wählen Sie das Profil aus, und klicken Sie dann auf Bearbeiten.
  5. Geben Sie im Dialogfeld TM-Sitzungsprofil erstellen oder TM-Sitzungsprofil konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.
    • Name* — actionname (Kann für eine zuvor konfigurierte Sitzungsaktion nicht geändert werden.)
    • Sitzungstimeout — sesstimeout
    • Single Sign-On bei Webanwendungen — SSO
    • Standardautorisierungsaktion — defaultAuthorizationAction
    • Anmeldeinformationsindex — ssocredential
    • Single Sign-On-Domäne — ssoDomain
    • HttpOnly Cookie — httpOnlyCookie
    • Persistent Cookie aktivieren — persistentCookie
    • Gültigkeit von dauerhaften Cookies — persistentCookieValidity
  6. Klicken Sie auf Erstellen oder OK. Das von Ihnen erstellte Sitzungsprofil wird im Bereich Sitzungsrichtlinien und -profile angezeigt.

Sitzungsrichtlinien

Nachdem Sie ein oder mehrere Sitzungsprofile erstellt haben, erstellen Sie Sitzungsrichtlinien und binden die Richtlinien dann global oder an einen virtuellen Authentifizierungsserver, um sie in Kraft zu setzen.

So erstellen Sie eine Sitzungsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie zu erstellen und die Konfiguration zu überprüfen:

-  add tm sessionPolicy <name> <rule> <action>
-  show tm sessionPolicy <name>
<!--NeedCopy-->

Beispiel

> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

So ändern Sie eine Sitzungsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie zu ändern und die Konfiguration zu überprüfen:

-  set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
-  show tm sessionPolicy <name>
<!--NeedCopy-->

Beispiel

> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
 Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

So binden Sie eine Sitzungsrichtlinie global mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie global zu binden und die Konfiguration zu überprüfen:

bind tm global -policyName <policyname> [-priority <priority>]
<!--NeedCopy-->

Beispiel

> bind tm global -policyName session-pol
 Done

> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/*.gif'
        Action: session-profile
        Policy is bound to following entities
        1) TM GLOBAL    PRIORITY : 0
 Done

<!--NeedCopy-->

So binden Sie eine Sitzungsrichtlinie über die Befehlszeilenschnittstelle an einen virtuellen Authentifizierungsserver

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um eine Sitzungsrichtlinie an eine virtuelle Authentifizierung zu binden und die Konfiguration zu überprüfen:

bind authentication vserver <name> -policy <policyname> [-priority <priority>]
<!--NeedCopy-->

Beispiel

bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
<!--NeedCopy-->

So heben Sie die Bindung einer Sitzungsrichtlinie von einem virtuellen Authentifizierungsserver mit der Befehlszeilenschnittstelle auf

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Bindung einer Sitzungsrichtlinie von einem virtuellen Authentifizierungsserver aufzuheben und die Konfiguration zu überprüfen:

unbind authentication vserver <name> -policy <policyname>
<!--NeedCopy-->

Beispiel

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
<!--NeedCopy-->

So heben Sie die Bindung einer global gebundenen Sitzungsrichtlinie mit der Befehlszeilenschnittstelle auf

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Bindung einer global gebundenen Sitzungsrichtlinie aufzuheben:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

Beispiel

unbind tm global -policyName Session-Pol-1
Done
<!--NeedCopy-->

So entfernen Sie eine Sitzungsrichtlinie mit der Befehlszeilenschnittstelle

Trennen Sie zuerst die Bindung der Sitzungsrichtlinie von global, und geben Sie dann an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie zu entfernen und die Konfiguration zu überprüfen:

rm tm sessionPolicy <name>
<!--NeedCopy-->

Beispiel


rm tm sessionPolicy Session-Pol-1
Done

<!--NeedCopy-->

So konfigurieren und binden Sie Sitzungsrichtlinien mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Sitzung.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Sitzung.
  3. Führen Sie im Detailbereich auf der Registerkarte Richtlinien eine der folgenden Aktionen aus:
    • Um eine neue Sitzungsrichtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Sitzungsrichtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Dialogfeld “Sitzungsrichtlinie erstellen “ oder “ Sitzungsrichtlinie konfigurieren “ die Werte für die Parameter ein oder wählen Sie sie aus.
    • Name* — PolicyName (Für eine zuvor konfigurierte Sitzungsrichtlinie kann nicht geändert werden.)
    • Anforderungsprofil* — Aktionsname
    • Ausdruck* — Regel (Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unterhalb des Textbereichs Ausdruck auswählen und anschließend den Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und das Dropdownmenü unten Listen darin, um Ihren Ausdruck zu konstruieren.)
  5. Klicken Sie auf Erstellen oder OK. Die erstellte Richtlinie wird im Detailbereich der Seite Sitzungsrichtlinien und -profile angezeigt.
  6. Um eine Sitzungsrichtlinie global zu binden, wählen Sie im Detailbereich Globale Bindungen aus der Dropdownliste Aktion aus, und füllen Sie das Dialogfeld aus.
    • Wählen Sie den Namen der Sitzungsrichtlinie aus, die global gebunden werden soll.
    • Klicken Sie auf OK.
  7. Um eine Sitzungsrichtlinie an einen virtuellen Authentifizierungsserver zu binden, klicken Sie im Navigationsbereich auf Virtuelle Server, und fügen Sie diese Richtlinie zur Richtlinienliste hinzu.
    • Wählen Sie im Detailbereich den virtuellen Server aus, und klicken Sie dann auf Bearbeiten.
    • Klicken Sie im Bereich Erweiterte Auswahl rechts neben dem Detailbereich auf Richtlinien .
    • Wählen Sie eine Richtlinie aus, oder klicken Sie auf das Plussymbol, um eine Richtlinie hinzuzufügen.
    • Ändern Sie in der Spalte Priorität auf der linken Seite die Standardpriorität, um sicherzustellen, dass die Richtlinie in der richtigen Reihenfolge ausgewertet wird.
    • Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Richtlinie erfolgreich konfiguriert wurde.

Globale Sitzungseinstellungen

Zusätzlich zum oder anstelle des Erstellen von Sitzungsprofilen und -richtlinien können Sie globale Sitzungseinstellungen konfigurieren. Diese Einstellungen steuern die Sitzungskonfiguration, wenn keine explizite Richtlinie sie überschreibt.

So konfigurieren Sie die Sitzungseinstellungen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die globalen Sitzungseinstellungen zu konfigurieren und die Konfiguration zu überprüfen:

set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
<!--NeedCopy-->

Beispiel

> set tm sessionParameter -sessTimeout 30
  Done
> set tm sessionParameter -defaultAuthorizationAction DENY
  Done
> set tm sessionParameter -SSO ON
  Done
> set tm sessionParameter -ssoCredential PRIMARY
  Done
<!--NeedCopy-->

So konfigurieren Sie die Sitzungseinstellungen mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Geben Sie im Dialogfeld Globale Sitzungseinstellungen Werte für die Parameter ein oder wählen Sie sie aus.
    • Sitzungstimeout — sessTimeout
    • Standardautorisierungsaktion — defaultAuthorizationAction
    • Single Sign-On bei Webanwendungen — sso
    • Anmeldeinformationsindex — ssoCredential
    • Single Sign-On-Domäne — ssoDomain
    • HttpOnly Cookie — httpOnlyCookie
    • Persistent Cookie aktivieren — persistentCookie
    • Persistent-Cookie-Gültigkeit (Minuten) — persistentCookieValidity
    • Startseite — home page
  4. Klicken Sie auf OK.

Verkehrseinstellungen

Wenn Sie formularbasierte oder SAML Single Sign-On (SSO) für Ihre geschützten Anwendungen verwenden, konfigurieren Sie diese Funktion in den Verkehrseinstellungen. SSO ermöglicht es Ihren Benutzern, sich einmal anzumelden, um auf alle geschützten Anwendungen zuzugreifen, anstatt dass sie sich separat anmelden müssen, um auf die einzelnen Anwendungen zuzugreifen.

Formularbasiertes SSO ermöglicht es Ihnen, ein Webformular Ihres eigenen Entwurfs als Anmeldemethode anstelle eines generischen Popup-Fensters zu verwenden. Sie können daher Ihr Firmenlogo und andere Informationen, die Ihre Benutzer möglicherweise sehen sollen, im Anmeldeformular angeben. Mit SAML SSO können Sie eine Citrix ADC Appliance oder eine virtuelle Appliance-Instanz für die Authentifizierung bei einer anderen Citrix ADC-Appliance im Namen von Benutzern konfigurieren, die sich bei der ersten Appliance authentifiziert haben.

Um einen der beiden SSO-Typen zu konfigurieren, erstellen Sie zunächst ein Formular oder ein SAML-SSO-Profil. Als Nächstes erstellen Sie ein Verkehrsprofil und verknüpfen es mit dem SSO-Profil, das Sie erstellt haben. Als Nächstes erstellen Sie eine Richtlinie und verknüpfen sie mit dem Verkehrsprofil. Schließlich binden Sie die Richtlinie global oder an einen virtuellen Authentifizierungsserver, um Ihre Konfiguration in Kraft zu setzen.

Verkehrsprofile

Nachdem Sie mindestens ein Formular oder ein SAML-Profil erstellt haben, müssen Sie als nächstes ein Verkehrsprofil erstellen.

Hinweis:

In dieser Funktion bedeuten die Begriffe “Profil” und “Aktion” dasselbe.

So erstellen Sie mit der Befehlszeilenschnittstelle ein Verkehrsprofil

Geben Sie an der Eingabeaufforderung Folgendes ein:

add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

Beispiel

add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

So ändern Sie ein Sitzungsprofil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

Beispiel

set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

So entfernen Sie ein Sitzungsprofil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

rm tm trafficAction <name>
<!--NeedCopy-->

Beispiel

rm tm trafficAction Traffic-Prof-1
<!--NeedCopy-->

So konfigurieren Sie Datenverkehrsprofile mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Datenverkehr.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Traffic.
  3. Klicken Sie im Detailbereich auf die Registerkarte Profile.
  4. Führen Sie auf der Registerkarte Profile einen der folgenden Schritte aus:
    • Um ein neues Verkehrsprofil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes Verkehrsprofil zu ändern, wählen Sie das Profil aus, und klicken Sie dann auf Bearbeiten.
  5. Geben Sie im Dialogfeld Verkehrsprofil erstellen oder Verkehrsprofil konfigurieren Werte für die Parameter an.
    • Name* — name (Kann für eine zuvor konfigurierte Sitzungsaktion nicht geändert werden.)
    • AppTimeout — appTimeout
    • Single Sign-On — SSO
    • Formular-SSO-Aktion — formSSOAction
    • SAML-SSO-Aktion — samlSSOAction
    • Persistent Cookie aktivieren — persistentCookie
    • Abmeldung initiieren — InitiateLogout
  6. Klicken Sie auf Erstellen oder OK. Das von Ihnen erstellte Verkehrsprofil wird in den Verkehrsrichtlinien, Profilen und je nach Bedarf im Bereich SSO-Profile Formular oder SAML-SSO-Profile angezeigt.

Unterstützung für AAA.USER und AAA.LOGIN Ausdrücke

Der AAA.USER-Ausdruck wird nun implementiert, um die vorhandenen HTTP.REQ.USER-Ausdrücke zu ersetzen. Der AAA.USER-Ausdruck ist anwendbar für den Umgang mit Nicht-HTTP-Datenverkehr wie Secure Web Gateway (SWG) und dem rollenbasierten Zugriffsmechanismus (RBA). Die AAA.USER-Ausdrücke entsprechen HTTP.REQ.USER-Ausdrücken.

Sie können den Ausdruck bei verschiedenen Aktionen oder Profilkonfigurationen verwenden.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add tm trafficAction <name> [SSO (ON|OFF)] [-userExpression <string>]

add tm trafficAction <name> [SSO (ON|OFF)] [-passwdExpression <string>]

<!--NeedCopy-->

Beispiel

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.PASSWD"

add tm trafficPolicy tm_pol true tm_act

bind lb vserver lb1 -policyName tm_pol -priority 2
<!--NeedCopy-->

Hinweis:

Wenn Sie HTTP.REQ.USER Ausdruck verwenden, wurde die Warnmeldung HTTP.REQ.USER veraltet. Verwenden Sie stattdessen AAA.USER wird an der Eingabeaufforderung angezeigt.

  • AAA.LOGIN Expression. Der LOGIN-Ausdruck stellt die Pre-Login dar, die auch als Anmeldeanforderung bezeichnet wird. Die Anmeldeanforderung kann von Citrix Gateway, SAML-IdP oder von der OAuth-Authentifizierung stammen. Der Citrix ADC wird die erforderlichen Attribute aus der Richtlinienkonfiguration abstrahieren. Der AAA.LOGIN-Ausdruck enthält die Attribute, die auf folgender Grundlage abgerufen werden können:
    • AAA.LOGIN.USERNAME. Der Benutzername (falls gefunden) wird von der aktuellen Anmeldeanfrage abgerufen. Derselbe Ausdruck, der auf eine Nicht-Login-Anfrage angewendet wird (bestimmt durch eine Authentifizierung, Autorisierung und Überwachung), ergibt eine leere Zeichenfolge.
    • AAA.LOGIN.PASSWORD. Das Benutzerkennwort (falls gefunden) wird aus der aktuellen Anmeldeanforderung abgerufen. Der Ausdruck führt zu einer leeren Zeichenfolge, wenn das Kennwort nicht gefunden wird.
    • AAA.LOGIN.PASSWORD2. Das zweite Kennwort (falls gefunden) wird aus der Anmeldeanfrage abgerufen.
    • AAA.LOGIN.DOMAIN. Die Domäneninformationen werden aus der Anmeldeanfrage abgerufen.
  • AAA.USER.ATTRIBUTE (“#”). Der Ausdruck wird verwendet, um das Benutzerattribut zu speichern. Hier kann # entweder ein ganzzahliger Wert (zwischen 1 und 16) oder ein Zeichenfolgenwert sein. Sie können diese Indexwerte verwenden, indem Sie den Ausdruck AAA.USER.ATTRIBUTE (“#”) verwenden. Das Authentifizierungs-, Autorisierungs- und Überwachungsmodul sucht das Benutzersitzungsattribut und AAA.USER.ATTRIBUTE("#") würde die Hash-Tabelle nach diesem bestimmten Attribut abfragen. Wenn beispielsweise Attributes("samaccountname") festgelegt ist, würde AAA.USER.ATTRIBUTE("samaccountname") die Hash-Map abfragen und würde den samaccountname entsprechenden Wert abrufen.

Verkehrsrichtlinien

Nachdem Sie ein oder mehrere Formular-SSO- und Verkehrsprofile erstellt haben, erstellen Sie Datenverkehrsrichtlinien und binden die Richtlinien dann global oder an einen virtuellen Server für die Datenverkehrsverwaltung, um sie in Kraft zu setzen.

So erstellen Sie eine Verkehrsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

Beispiel

add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

So ändern Sie eine Verkehrsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

Beispiel

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

So binden Sie eine Verkehrsrichtlinie global mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind tm global -policyName <string> [-priority <priority>]
<!--NeedCopy-->

Beispiel

bind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

So binden Sie eine Verkehrsrichtlinie über die Befehlszeilenschnittstelle an einen virtuellen Lastausgleichs- oder Content Switching-Server

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

bind lb vserver <name> -policy <policyName> [-priority <priority>]

bind cs vserver <name> -policy <policyName> [-priority <priority>]
<!--NeedCopy-->

Beispiel

bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
<!--NeedCopy-->

So heben Sie die Bindung einer global gebundenen Verkehrsrichtlinie mit der Befehlszeilenschnittstelle auf

Geben Sie an der Eingabeaufforderung Folgendes ein:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

Beispiel

unbind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

So heben Sie die Bindung einer Verkehrsrichtlinie für einen virtuellen Lastenausgleichs- oder Content Switching-Server über die Befehlszeilenschnittstelle auf

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

unbind lb vserver <name> -policy <policyname>

unbind cs vserver <name> -policy <policyname>
<!--NeedCopy-->

Beispiel

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
<!--NeedCopy-->

So entfernen Sie eine Verkehrsrichtlinie mit der Befehlszeilenschnittstelle

Entbinden Sie zuerst die Sitzungsrichtlinie von global, und geben Sie dann an der Eingabeaufforderung Folgendes ein:

rm tm trafficPolicy <name>
<!--NeedCopy-->

Beispiel

rm tm trafficPolicy Traffic-Pol-1
<!--NeedCopy-->

So konfigurieren und binden Sie Verkehrsrichtlinien mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Datenverkehr.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Traffic.
  3. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Um eine neue Sitzungsrichtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Sitzungsrichtlinie zu ändern, wählen Sie die Richtlinie aus und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Dialogfeld Verkehrsrichtlinie erstellen oder Verkehrsrichtlinie konfigurieren Werte für die Parameter an.
    • Name* — policyName (Für eine zuvor konfigurierte Sitzungsrichtlinie kann nicht geändert werden.)
    • Profil* — actionName
    • Ausdruck — Regel (Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unter dem Textbereich Ausdruck auswählen und anschließend den Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und die Dropdownlisten in diesem Feld zu verwenden. konstruieren Sie Ihren Ausdruck.)
  5. Klicken Sie auf Erstellen oder OK. Die erstellte Richtlinie wird im Detailbereich der Seite Sitzungsrichtlinien und -profile angezeigt.

Formular-SSO-Profile

Um formularbasierte SSO zu aktivieren und zu konfigurieren, erstellen Sie zunächst ein SSO-Profil.

Hinweis:

  • Formularbasiertes einmaliges Anmelden funktioniert nicht, wenn das Formular so angepasst ist, dass es Javascript enthält.
  • In dieser Funktion bedeuten die Begriffe Profil und Aktion dasselbe.

So erstellen Sie ein Formular-SSO-Profil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

show tm formSSOAction [<name>]
<!--NeedCopy-->

Beispiel

add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

So ändern Sie eine Formular-SSO mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
<!--NeedCopy-->

Beispiel

set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

So entfernen Sie ein Formular-SSO-Profil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

rm tm formSSOAction <name>
<!--NeedCopy-->

Beispiel

rm tm sessionAction SSO-Prof-1
<!--NeedCopy-->

So konfigurieren Sie Formular-SSO-Profile mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Datenverkehr.
  2. Klicken Sie im Detailbereich auf die Registerkarte SSO-Profile Formular .
  3. Führen Sie auf der Registerkarte Formular-SSO-Profile eine der folgenden Aktionen aus:
    • Klicken Sie auf Hinzufügen, um ein neues SSO-Profil zu erstellen.
    • Um ein vorhandenes SSO-Profil zu ändern, wählen Sie das Profil aus, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Dialogfeld Formular-SSO-Profil erstellen oder Formular-SSO-Profil konfigurieren die Werte für die Parameter an:
    • Name* — name (Kann für eine zuvor konfigurierte Sitzungsaktion nicht geändert werden.)
    • Aktions-URL*—ActionURL
    • Benutzernamenfeld*—userField
    • Kennwortfeld*—passField
    • Ausdruck*—ssoSuccessRule
    • Namenswertpaar—nameValuePair
    • Antwortgröße — responsesize
    • Extraktion — nvtype
    • Submit-Methode — submitMethod</span>
  5. Klicken Sie auf Erstellen oder OKund dann auf Schließen. Das von Ihnen erstellte Formular-SSO-Profil wird im Bereich Verkehrsrichtlinien, Profile und Form SSO-Profile angezeigt.

SAML SSO-Profile

Um SAML-basierte SSO zu aktivieren und zu konfigurieren, erstellen Sie zunächst ein SAML-SSO-Profil.

So erstellen Sie ein SAML-SSO-Profil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

Beispiel

add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

So ändern Sie ein SAML SSO mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

Beispiel

set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

So entfernen Sie ein SAML-SSO-Profil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

rm tm samlSSOProfile <name>
<!--NeedCopy-->

Beispiel

rm tm sessionAction saml-SSO-Prof-1
<!--NeedCopy-->

So konfigurieren Sie ein SAML-SSO-Profil mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Traffic.
  2. Klicken Sie im Detailbereich auf die Registerkarte SAML-SSO-Profile .
  3. Führen Sie auf der Registerkarte SAML-SSO-Profile eine der folgenden Aktionen aus:
    • Um ein neues SAML-SSO-Profil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes SAML-SSO-Profil zu ändern, wählen Sie das Profil aus, und klicken Sie dann auf OpenEdit.
  4. Legen Sie im Dialogfeld SAML-SSO-Profile erstellen oder im Dialogfeld SAML-SSO-Profile konfigurieren die folgenden Parameter fest:
    • Namen*
    • Signaturzertifikatsname*
    • ACS-URL*
    • Relay-Zustandsregel*
    • Kennwort senden
    • Name des Ausstellers
  5. Klicken Sie auf Erstellen oder OKund dann auf Schließen. Das von Ihnen erstellte SAML-SSO-Profil wird im Bereich Verkehrsrichtlinien, Profile und SAML-SSO-Profile angezeigt.

Sitzungszeitüberschreitung für OWA 2010

Sie können jetzt erzwingen, dass OWA 2010-Verbindungen nach einem bestimmten Zeitraum der Inaktivität Timeout. OWA sendet wiederholte Keepalive-Anforderungen an den Server, um Timeouts zu verhindern. Wenn die Verbindungen geöffnet bleiben, kann das einmalige Anmelden beeinträchtigen.

So zwingen Sie OWA 2010 mit der Befehlszeilenschnittstelle nach einem bestimmten Zeitraum ein Timeout

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
<!--NeedCopy-->

Für <actname> ersetzen Sie einen Namen für Ihre Verkehrsrichtlinie. <mins> Ersetzen Sie für die Anzahl der Minuten, nach denen ein erzwungenes Timeout ausgelöst werden soll. Für <forcedTimeout> ersetzen Sie einen der folgenden Werte:

-START — Startet den Timer für erzwungenes Timeout, wenn noch kein Timer gestartet wurde. Wenn ein laufender Timer vorhanden ist, hat keine Wirkung. -STOP — Stoppt einen laufenden Timer. Wenn kein laufender Timer gefunden wird, hat keine Wirkung. -RESET — Startet einen laufenden Timer neu. Wenn kein laufender Timer gefunden wird, startet einen Timer, als ob die START-Option verwendet worden wäre.

add tm trafficPolicy <polname> <rule> <actname>
<!--NeedCopy-->

<polname>Ersetzen Sie für einen Namen für Ihre Traffic-Richtlinie. Für <rule> ersetzen Sie eine Regel in der Citrix ADC Standardsyntax.

bind lb vserver <vservername> –policyName <name> -priority <number>
<!--NeedCopy-->

<vservername> Ersetzen Sie für den Namen des virtuellen Servers für die Authentifizierung, Autorisierung und Überwachung der Datenverkehrsverwaltung. <priority> Ersetzen Sie für eine ganze Zahl, die die Priorität der Richtlinie angibt.

Beispiel

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
<!--NeedCopy-->
Sitzungs- und Verkehrsmanagement