Beispiel für ein Benutzerszenario

Das folgende Beispiel zeigt, wie Sie einen vollständigen Satz von Benutzerkonten, Gruppen und Befehlsrichtlinien erstellen und jede Richtlinie an die entsprechenden Gruppen und Benutzer binden. Das Unternehmen, Example Manufacturing, Inc., verfügt über drei Benutzer, die auf die Citrix ADC Appliance zugreifen können:

  • John Doe. Der IT-Manager. John muss alle Teile der Citrix ADC Konfiguration sehen können, muss jedoch nichts ändern.

    Maria Ramiez. Die leitende IT-Administratorin. Maria muss alle Teile der Citrix ADC Konfiguration anzeigen und ändern können, mit Ausnahme von Citrix ADC-Befehlen (die lokalen Richtlinien müssen ausgeführt werden, während sie als nsroot angemeldet sind).

  • Michael Baldrock. Der für den Lastausgleich zuständige IT-Administrator. Michael muss alle Teile der Citrix ADC Konfiguration sehen können, muss aber nur die Lastausgleichsfunktionen ändern.

Die folgende Tabelle zeigt die Aufschlüsselung der Netzwerkinformationen, Benutzerkontonamen, Gruppennamen und Befehlsrichtlinien für das Beispielunternehmen.

Feld Wert Notiz
Citrix ADC Hostname ns01.example.net Nicht zutreffend
Benutzerkonten johnd, mariar und michaelb John Doe, IT-Manager, Maria Ramirez, IT-Administrator und Michael Baldrock, IT-Administrator.
Gruppen Manager und SysOps Alle Manager und alle IT-Administratoren.
Befehlsrichtlinien read_all, modify_lb und modify_all Vollständigen schreibgeschützten Zugriff zulassen, Änderungszugriff für Lastenausgleich zulassen und Vollständigen Änderungszugriff zulassen.

Die folgende Beschreibung führt Sie durch das Erstellen eines vollständigen Satzes von Benutzerkonten, Gruppen und Befehlsrichtlinien auf der Citrix ADC Appliance namens ns01.example.net.

Die Beschreibung enthält Verfahren zum Binden der entsprechenden Benutzerkonten und -gruppen sowie zum Binden geeigneter Befehlsrichtlinien an die Benutzerkonten und -gruppen.

In diesem Beispiel wird veranschaulicht, wie Sie die Priorisierung verwenden können, um jedem Benutzer in der IT-Abteilung präzisen Zugriff und Berechtigungen zu gewähren.

Im Beispiel wird davon ausgegangen, dass die Erstinstallation und Konfiguration bereits auf dem Citrix ADC durchgeführt wurden.

Konfigurationsschritte

  1. Verwenden Sie das unter Konfigurieren von Benutzerkonten beschriebene Verfahren, um Benutzerkonten johnd, mariarund michaelbzu erstellen.
  2. Verwenden Sie das unter Konfigurieren von Benutzergruppen beschriebene Verfahren, um Benutzergruppen Managerund SySOpszu erstellen, und binden Sie dann die Benutzer mariarund michaelb an die SysOps-Gruppe und den Benutzer Johnd an die Gruppe Manager.
  3. Verwenden Sie das unter [Erstellen benutzerdefinierter Befehlsrichtlinien] beschriebene Verfahren, um die folgenden Befehlsrichtlinien zu erstellen:

    • read_all mit Aktion Zulassen und Befehlsspezifikation "(^show\s+(?!system)(?!ns ns.conf)(?!ns runningConfig).*)|(^stat.*)"
    • modify_lb mit Aktion Zulassen und der Befehlsspezifikation "^set\s+lb\s+.*$"
    • modify_all mit Aktion Zulassen und der Befehlsspezifikation "^\S+\s+(?!system).*"
  4. Verwenden Sie das unter Verbinden von Befehlsrichtlinien an Benutzer und Gruppen beschriebene Verfahren, um die Befehlsrichtlinie read_all mit dem Prioritätswert 1 an die SysOps-Gruppezu binden.
  5. Verwenden Sie das unter Verbinden von Befehlsrichtlinien an Benutzer und Gruppen beschriebene Verfahren, um die Befehlsrichtlinie modify_lb mit dem Prioritätswert 5 an den Benutzer michaelb zu binden.

Die soeben erstellte Konfiguration führt zu folgendem Ergebnis:

  • Der IT-Manager John Doe hat schreibgeschützten Zugriff auf die gesamte Citrix ADC Konfiguration, aber er kann keine Änderungen vornehmen.
  • Maria Ramirez, IT-Lead, hat nahezu vollständigen Zugriff auf alle Bereiche der Citrix ADC Konfiguration und muss sich nur anmelden, um Befehle auf Citrix ADC-Ebene auszuführen.
  • Michael Baldrock, der für den Lastausgleich zuständige IT-Administrator, hat schreibgeschützten Zugriff auf die Citrix ADC Konfiguration und kann die Konfigurationsoptionen für den Lastausgleich ändern.

Der Satz von Befehlsrichtlinien, der für einen bestimmten Benutzer gilt, ist eine Kombination von Befehlsrichtlinien, die direkt auf das Konto des Benutzers angewendet werden, und Befehlsrichtlinien, die auf die Gruppe (n) angewendet werden, deren Mitglied der Benutzer ist.

Jedes Mal, wenn ein Benutzer einen Befehl eingibt, durchsucht das Betriebssystem die Befehlsrichtlinien für diesen Benutzer, bis eine Richtlinie mit der Aktion Zulassen oder DENY gefunden wird, die dem Befehl entspricht. Wenn es eine Übereinstimmung findet, stoppt das Betriebssystem seine Befehlsrichtliniensuche und erlaubt oder verweigert den Zugriff auf den Befehl.

Wenn das Betriebssystem keine übereinstimmende Befehlsrichtlinie findet, verweigert es dem Benutzer den Zugriff auf den Befehl gemäß der standardmäßigen Verweigerungsrichtlinie der Citrix ADC Appliance.

Hinweis:

Wenn Sie einen Benutzer in mehrere Gruppen platzieren, achten Sie darauf, keine unbeabsichtigten Benutzerbefehlsbeschränkungen oder -berechtigungen zu verursachen. Um diese Konflikte zu vermeiden, sollten Sie beim Organisieren der Benutzer in Gruppen die Citrix ADC Befehlsrichtlinien-Suchprozedur und die Regeln für die Richtlinienanordnung berücksichtigen.

Beispiel für ein Benutzerszenario