Citrix ADC 13.0

Konfigurieren von Benutzern, Benutzergruppen und Befehlsrichtlinien

Sie müssen Ihre Benutzer definieren, indem Sie Konten für sie konfigurieren. Um die Verwaltung von Benutzerkonten zu vereinfachen, können Sie sie in Gruppen organisieren. Sie können Befehlsrichtlinien erstellen oder integrierte Befehlsrichtlinien verwenden, um den Benutzerzugriff auf Befehle zu regeln.

Sie können auch die Eingabeaufforderung für einen Benutzer anpassen. Prompts können in der Konfiguration eines Benutzers, in einer Benutzergruppenkonfiguration und in den globalen Systemkonfigurationseinstellungen definiert werden. Die Eingabeaufforderung, die für einen bestimmten Benutzer angezeigt wird, wird durch die folgende Rangfolge bestimmt:

  1. Zeigen Sie die Eingabeaufforderung an, wie sie in der Benutzerkonfiguration definiert ist.
  2. Zeigen Sie die Eingabeaufforderung an, wie sie in der Gruppenkonfiguration für die Gruppe des Benutzers definiert ist.
  3. Zeigen Sie die Eingabeaufforderung an, wie sie in den globalen Systemkonfigurationseinstellungen definiert ist.

Sie können nun einen Timeoutwert für inaktive CLI-Sitzungen für einen Systembenutzer angeben. Wenn die CLI-Sitzung eines Benutzers für einen Zeitraum im Leerlauf ist, der den Zeitüberschreitungswert überschreitet, beendet die Citrix ADC Appliance die Verbindung. Das Timeout kann in der Konfiguration eines Benutzers, in einer Benutzergruppenkonfiguration und in den globalen Systemkonfigurationseinstellungen definiert werden. Das Timeout für inaktive CLI-Sitzungen für einen Benutzer wird durch die folgende Rangfolge bestimmt:

  1. Zeitüberschreitungswert, wie in der Benutzerkonfiguration definiert.
  2. Zeitüberschreitungswert, wie in der Gruppenkonfiguration für die Gruppe des Benutzers definiert.
  3. Zeitüberschreitungswert, wie in den globalen Systemkonfigurationseinstellungen definiert.

Ein Citrix ADC Stammadministrator kann die maximale gleichzeitige Sitzungsgrenze für Systembenutzer konfigurieren. Indem Sie das Limit einschränken, können Sie die Anzahl der offenen Verbindungen reduzieren und die Serverleistung verbessern. Solange die CLI-Anzahl innerhalb des konfigurierten Grenzwerts liegt, können sich gleichzeitige Benutzer beliebig oft an der GUI anmelden. Wenn jedoch die Anzahl der CLI-Sitzungen das konfigurierte Limit erreicht, können sich Benutzer nicht mehr an der GUI anmelden. Wenn beispielsweise die Anzahl der gleichzeitigen Sitzung auf 20 konfiguriert ist, können sich gleichzeitige Benutzer an 19 CLI-Sitzungen anmelden. Wenn der Benutzer jedoch an der20<sup>th</sup> CLI-Sitzung angemeldet ist, führt jeder Versuch, sich an der GUI, CLI oder NITRO anzumelden, zu einer Fehlermeldung ((FEHLER: Verbindungsgrenze zu CFE überschritten).

Hinweis:

Standardmäßig ist die Anzahl der gleichzeitigen Sitzungen auf 20 und die maximale Anzahl gleichzeitiger Sitzungen auf 40 konfiguriert.

Konfigurieren von Benutzerkonten

Um Benutzerkonten zu konfigurieren, geben Sie einfach Benutzernamen und Kennwörter an. Sie können Kennwörter ändern und Benutzerkonten jederzeit entfernen.

So erstellen Sie ein Benutzerkonto mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Benutzerkonto zu erstellen und die Konfiguration zu überprüfen:

  • add system user <username> [-externalAuth ( ENABLED | DISABLED )] [-promptString <string>] [-timeout \<secs>] [-logging ( ENABLED | DISABLED )] [-maxsession <positive_integer>]
  • show system user <userName>

Wo Protokollierungsoption ist für externe Benutzer Protokolldaten extern mithilfe von Weblogging- oder Überwachungsprotokollierungsmechanismus zu sammeln. Wenn diese Option aktiviert ist, authentifiziert sich der Überwachungsclient mit Citrix ADC, um Protokolle über dieses Benutzerkonto zu sammeln.

Beispiel

> add system user johnd -promptString user-%u-at-%T

Enter password:

Confirm password:

> show system user johnd

user name: john

     Timeout:900 Timeout Inherited From: Global

     External Authentication: ENABLED

     Logging: DISABLED

     Maximum Client Sessions: 20

So konfigurieren Sie ein Benutzerkonto mit der GUI

Navigieren Sie zu System > Benutzerverwaltung > Benutzer, und erstellen Sie den Benutzer.

Konfigurieren von Benutzergruppen

Nachdem Sie eine Benutzergruppe konfiguriert haben, können Sie ganz einfach jedem in der Gruppe dieselben Zugriffsrechte erteilen. Um eine Gruppe zu konfigurieren, erstellen Sie die Gruppe und binden Benutzer an die Gruppe. Sie können jedes Benutzerkonto an mehrere Gruppen binden. Das Binden von Benutzerkonten an mehrere Gruppen ermöglicht möglicherweise mehr Flexibilität beim Anwenden von Befehlsrichtlinien.

So erstellen Sie eine Benutzergruppe mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Benutzergruppe zu erstellen und die Konfiguration zu überprüfen:

  • add system group <groupName> [-promptString <string>] [-timeout <secs>]
  • show system group <groupName>

Beispiel

> add system group Managers -promptString Group-Managers-at-%h

So binden Sie einen Benutzer mit der Befehlszeilenschnittstelle an eine Gruppe

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Benutzerkonto an eine Gruppe zu binden und die Konfiguration zu überprüfen:

  • bind system group <groupName> -userName <userName>
  • show system group <groupName>

Beispiel

> bind system group Managers -userName user1

So konfigurieren Sie eine Benutzergruppe mit der GUI

Navigieren Sie zu System > Benutzerverwaltung > Gruppen, und erstellen Sie die Benutzergruppe.

Hinweis:

Um der Gruppe Mitglieder hinzuzufügen, klicken Sie im Abschnitt Mitglieder auf Hinzufügen. Wählen Sie Benutzer aus der Liste Verfügbar aus, und fügen Sie sie der Liste Konfiguriert hinzu.

Konfigurieren von Befehlsrichtlinien

Befehlsrichtlinien regeln, welche Befehle, Befehlsgruppen, virtuelle Server und andere Entitäten Benutzer und Benutzergruppen verwenden dürfen.

Die Appliance stellt eine Reihe integrierter Befehlsrichtlinien bereit, und Sie können benutzerdefinierte Richtlinien konfigurieren. Um die Richtlinien anzuwenden, binden Sie sie an Benutzer und/oder Gruppen.

Hier sind die wichtigsten Punkte, die Sie beim Definieren und Anwenden von Befehlsrichtlinien beachten müssen.

  • Globale Befehlsrichtlinien können nicht erstellt werden. Befehlsrichtlinien müssen direkt an die Benutzer und Gruppen auf der Appliance gebunden sein.
  • Benutzer oder Gruppen ohne zugeordnete Befehlsrichtlinien unterliegen der Standardbefehlsrichtlinie (DENY-ALL) und können daher keine Konfigurationsbefehle ausführen, bis die richtigen Befehlsrichtlinien an ihre Konten gebunden sind.
  • Alle Benutzer erben die Richtlinien der Gruppen, zu denen sie gehören.
  • Sie müssen einer Befehlsrichtlinie eine Priorität zuweisen, wenn Sie sie an ein Benutzerkonto oder ein Gruppenkonto binden. Auf diese Weise kann die Appliance bestimmen, welche Richtlinie Priorität hat, wenn zwei oder mehr widersprüchliche Richtlinien für denselben Benutzer oder dieselbe Gruppe gelten.
  • Die folgenden Befehle sind standardmäßig für jeden Benutzer verfügbar und sind von einem von Ihnen angegebenen Befehl nicht betroffen:
  • help, show cli attribute, set cli prompt, clear cli prompt, show cli prompt, alias, unalias, history, quit, exit,whoami, config, set cli mode, unset cli mode, and show cli mode.

Integrierte Befehlsrichtlinien

In der folgenden Tabelle werden die integrierten Richtlinien beschrieben.

Tabelle 1. Integrierte Befehlsrichtlinien

Richtlinienname Erlaubt
read-only Schreibgeschützter Zugriff auf alle showbefehle außer show ns runningConfig, show ns ns.conf und die show-Befehle für die Citrix ADC Befehlsgruppe.
operator Schreibgeschützter Zugriff und Zugriff auf Befehle zum Aktivieren und Deaktivieren von Diensten und Servern.
network Voller Zugriff, außer auf die set- und unset SSL-Befehle, show ns ns.conf, show ns runningConfig und show gslb RunningConfig Befehle.
sysadmin [In Citrix ADC 12.0 und höher enthalten]Ein Systemadministrator ist niedriger als ein Superuser die Zugangsbedingungen für die Appliance. Ein sysadmin-Benutzer kann alle Citrix ADC Vorgänge mit folgenden Ausnahmen ausführen: Kein Zugriff auf die Citrix ADC-Shell, keine Benutzerkonfigurationen ausführen, keine Partitionskonfigurationen ausführen und einige andere Konfigurationen, wie in der Sysadmin-Befehlsrichtlinie angegeben.
superuser Voller Zugang. Dieselben Berechtigungen wie der Benutzer nsroot.

Erstellen benutzerdefinierter Befehlsrichtlinien

Für Benutzer mit den Ressourcen, um benutzerdefinierte Ausdrücke zu verwalten, und für Bereitstellungen, die die Flexibilität, die reguläre Ausdrücke bieten, wird Unterstützung für reguläre Ausdrücke angeboten. Für die meisten Benutzer sind die integrierten Befehlsrichtlinien ausreichend. Benutzer, die zusätzliche Steuerungsebenen benötigen, aber mit regulären Ausdrücken nicht vertraut sind, möchten möglicherweise nur einfache Ausdrücke verwenden, z. B. die in den Beispielen in diesem Abschnitt enthaltenen Informationen, um die Lesbarkeit der Richtlinien zu erhalten.

Wenn Sie einen regulären Ausdruck zum Erstellen einer Befehlsrichtlinie verwenden, beachten Sie Folgendes:

  • Wenn Sie reguläre Ausdrücke verwenden, um Befehle zu definieren, die von einer Befehlsrichtlinie betroffen sind, müssen Sie die Befehle in doppelte Anführungszeichen setzen. Um beispielsweise eine Befehlsrichtlinie zu erstellen, die alle Befehle enthält, die mit show beginnen, geben Sie Folgendes ein:
  • “^show .*$”
  • Um eine Befehlsrichtlinie zu erstellen, die alle Befehle enthält, die mit rm beginnen, geben Sie Folgendes ein:
  • “^rm .*$”
  • Reguläre Ausdrücke, die in Befehlsrichtlinien verwendet werden, werden nicht zwischen Groß- und Kleinschreibung unterschieden.

In der folgenden Tabelle sind Beispiele für reguläre Ausdrücke aufgeführt:

Tabelle 2. Beispiele für reguläre Ausdrücke für Befehlsrichtlinien

Befehlsspezifikation Entspricht diesen Befehlen
“^rm\s+.*$” Alle Entfernungsaktionen, da alle Entfernungsaktionen mit der Zeichenfolge rm beginnen, gefolgt von einem Leerzeichen und zusätzlichen Parametern wie Befehlsgruppen, Befehlsobjekttypen und Argumenten.
“^show\s+.*$” Alle Show-Befehle, da alle Show-Aktionen mit der Show-Zeichenfolge beginnen, gefolgt von einem Leerzeichen und zusätzlichen Parametern wie Befehlsgruppen, Befehlsobjekttypen und Argumenten.
“^shell$” Der Shell-Befehl allein, aber nicht mit zusätzlichen Parametern wie Befehlsgruppen, Befehlsobjekttypen und Argumenten kombiniert.
“^add\s+vserver\s+.*$” Alle erstellen virtuelle Serveraktionen, die aus dem Befehl virtuellen Server hinzufügen gefolgt von einem Leerzeichen und zusätzlichen Parametern wie Befehlsgruppen, Befehlsobjekttypen und Argumenten bestehen.
“^add\s+(lb\s+vserver)\s+.*” Alle Aktionen des virtuellen Servers erstellen lb, die aus dem Befehl virtual server add lb gefolgt von einem Leerzeichen und zusätzlichen Parametern wie Befehlsgruppen, Befehlsobjekttypen und Argumenten bestehen.

Hinweise zu integrierten Befehlsrichtlinien finden Sie in der Tabelle Integrierte Befehlsrichtlinie.

So erstellen Sie eine Befehlsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Befehlsrichtlinie zu erstellen und die Konfiguration zu überprüfen:

  • add system cmdPolicy <policyname> <action> <cmdspec>
  • show system cmdPolicy <policyName>

Beispiel

> add system cmdPolicy read_all ALLOW (^shows+(!system)(!ns ns.conf)(!ns runningConfig).*)|(^stat.*)

So konfigurieren Sie eine Befehlsrichtlinie mit der GUI

Navigieren Sie zu System > Benutzerverwaltung > Befehlsrichtlinien, und erstellen Sie die Befehlsrichtlinie.

Verbinden von Befehlsrichtlinien an Benutzer und Gruppen

Nachdem Sie die Befehlsrichtlinien definiert haben, müssen Sie sie an die entsprechenden Benutzerkonten und Gruppen binden. Wenn Sie eine Richtlinie binden, müssen Sie ihr eine Priorität zuweisen, damit die Appliance bestimmen kann, welche Befehlsrichtlinie befolgt werden soll, wenn zwei oder mehr anwendbare Befehlsrichtlinien in Konflikt stehen.

Befehlsrichtlinien werden in der folgenden Reihenfolge ausgewertet:

  • Befehlsrichtlinien, die direkt an Benutzer und die entsprechenden Gruppen gebunden sind, werden entsprechend der Prioritätsnummer ausgewertet. Eine Befehlsrichtlinie mit einer niedrigeren Prioritätsnummer wird vor einer mit einer höheren Prioritätsnummer ausgewertet. Daher werden alle Berechtigungen, die die untergeordnete Befehlsrichtlinie explizit gewährt oder verweigert, nicht durch eine höhere Befehlsrichtlinie außer Kraft gesetzt.
  • Wenn zwei Befehlsrichtlinien, eine an ein Benutzerkonto und eine andere an eine Gruppe gebunden, dieselbe Prioritätsnummer haben, wird zuerst die direkt an das Benutzerkonto gebundene Befehlsrichtlinie ausgewertet.

So binden Sie Befehlsrichtlinien mit der Befehlszeilenschnittstelle an einen Benutzer

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Befehlsrichtlinie an einen Benutzer zu binden und die Konfiguration zu überprüfen:

  • bind system user <userName> -policyName <policyName> <priority>
  • show system user <userName>

Beispiel

> bind system user user1 -policyName read_all 1

So binden Sie Befehlsrichtlinien mit der GUI an einen Benutzer

Navigieren Sie zu System > Benutzerverwaltung > Benutzer, wählen Sie den Benutzer aus und binden Sie Befehlsrichtlinien.

Optional können Sie die Standardpriorität ändern, um sicherzustellen, dass die Richtlinie in der richtigen Reihenfolge ausgewertet wird.

So binden Sie Befehlsrichtlinien mit der Befehlszeilenschnittstelle an eine Gruppe

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Befehlsrichtlinie an eine Benutzergruppe zu binden, und überprüfen Sie die Konfiguration:

  • bind system group <groupName> -policyName <policyName> <priority>
  • show system group <groupName>

Beispiel

> bind system group Managers -policyName read_all 1

So binden Sie Befehlsrichtlinien mit der GUI an eine Gruppe

Navigieren Sie zu System > Benutzerverwaltung > Gruppen, wählen Sie die Gruppe aus und binden Sie Befehlsrichtlinien.

Optional können Sie die Standardpriorität ändern, um sicherzustellen, dass die Richtlinie in der richtigen Reihenfolge ausgewertet wird.

Konfigurieren von Benutzern, Benutzergruppen und Befehlsrichtlinien