Citrix ADC

Sitzungs- und Verkehrsmanagement

Sitzungseinstellungen

Nachdem Sie Ihre Authentifizierungs-, Autorisierungs- und Überwachungsprofile konfiguriert haben, konfigurieren Sie Sitzungseinstellungen, um Ihre Benutzersitzungen anzupassen. Die Sitzungseinstellungen lauten:

  • Das Sitzungs-Timeout.

    Steuert den Zeitraum, nach dem der Benutzer automatisch getrennt wird und sich erneut authentifizieren muss, um auf Ihr Intranet zugreifen zu können.

  • Die standardmäßige Autorisierungseinstellung.

    Bestimmt, ob die Citrix ADC-Appliance standardmäßig den Zugriff auf Inhalte zulässt oder verweigert, für die es keine spezifische Autorisierungsrichtlinie gibt.

  • Die Einstellung für einmaliges Anmelden.

    Bestimmt, ob die Citrix ADC-Appliance Benutzer nach der Authentifizierung automatisch bei allen Webanwendungen anmeldet oder Benutzer zur Authentifizierung für jede Anwendung an die Anmeldeseite der Webanwendung weiterleitet.

  • Die Einstellung für den Berechtigungsindex.

    Bestimmt, ob die Citrix ADC-Appliance die primären oder sekundären Authentifizierungsanmeldeinformationen für das einmalige Anmelden verwendet.

Um die Sitzungseinstellungen zu konfigurieren, können Sie einen von zwei Ansätzen wählen. Wenn Sie unterschiedliche Einstellungen für verschiedene Benutzerkonten oder Gruppen wünschen, erstellen Sie ein Profil für jedes Benutzerkonto oder jede Gruppe, für die Sie benutzerdefinierte Sitzungseinstellungen konfigurieren möchten. Sie erstellen auch Richtlinien, um die Verbindungen auszuwählen, auf die bestimmte Profile angewendet werden sollen, und binden die Richtlinien an Benutzer oder Gruppen. Sie können auch eine Richtlinie an den virtuellen Authentifizierungsserver binden, der den Datenverkehr verarbeitet, auf den Sie das Profil anwenden möchten.

Wenn Sie dieselben Einstellungen für alle Sitzungen wünschen oder die Standardeinstellungen für Sitzungen anpassen möchten, für die keine spezifischen Profile und Richtlinien konfiguriert sind, können Sie einfach die globalen Sitzungseinstellungen konfigurieren.

Sitzungsprofile

Um Ihre Benutzersitzungen anzupassen, erstellen Sie zunächst ein Sitzungsprofil. Das Sitzungsprofil ermöglicht es Ihnen, globale Einstellungen für einen der Sitzungsparameter zu überschreiben.

Hinweis

Die Begriffe “Sitzungsprofil” und “Sitzungsaktion” bedeuten dasselbe.

So erstellen Sie ein Sitzungsprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Sitzungsprofil zu erstellen und die Konfiguration zu überprüfen:

add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction <name>
<!--NeedCopy-->

Beispiel

> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

So ändern Sie ein Sitzungsprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Sitzungsprofil zu ändern und die Konfiguration zu überprüfen:

set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction
<!--NeedCopy-->

Beispiel


> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

So entfernen Sie ein Sitzungsprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um ein Sitzungsprofil zu entfernen:

rm tm sessionAction <name>
<!--NeedCopy-->

So konfigurieren Sie Sitzungsprofile mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Sitzung.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Sitzung.
  3. Klicken Sie im Detailbereich auf die Registerkarte Profile .
  4. Führen Sie auf der Registerkarte Profile einen der folgenden Schritte aus:
    • Um ein neues Sitzungsprofil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes Sitzungsprofil zu ändern, wählen Sie das Profil aus und klicken dann auf Bearbeiten.
  5. Geben Sie im Dialogfeld TM-Sitzungsprofil erstellen oder TM-Sitzungsprofil konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.
    • name*—actionName (Kann für eine zuvor konfigurierte Sitzungsaktion nicht geändert werden.)
    • Sitzungs-Timeout — SessTimeout
    • Einmaliges Anmelden bei Webanwendungen — SSO
    • Standard-Autorisierungsaktion — DefaultAuthorizationAction
    • Index der Anmeldeinformationen — SSOCredential
    • Domäne für einmaliges Anmelden — SSODomain
    • Nur-HTTP-Cookie — Nur HTTP Cookie
    • Persistentes Cookie aktivieren — PersistentCookie
    • Persistente Cookie-Gültigkeit — Persistente Cookie-Gültigkeit
  6. Klicken Sie auf Erstellen oder OK. Das von Ihnen erstellte Sitzungsprofil wird im Bereich Sitzungsrichtlinien und -profile angezeigt.

Sitzungsrichtlinien

Nachdem Sie ein oder mehrere Sitzungsprofile erstellt haben, erstellen Sie Sitzungsrichtlinien und binden die Richtlinien dann global oder an einen virtuellen Authentifizierungsserver, um sie in Kraft zu setzen.

So erstellen Sie eine Sitzungsrichtlinie über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie zu erstellen und die Konfiguration zu überprüfen:

-  add tm sessionPolicy <name> <rule> <action>
-  show tm sessionPolicy <name>
<!--NeedCopy-->

Beispiel

> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

So ändern Sie eine Sitzungsrichtlinie über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie zu ändern und die Konfiguration zu überprüfen:

-  set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
-  show tm sessionPolicy <name>
<!--NeedCopy-->

Beispiel

> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
 Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

So binden Sie eine Sitzungsrichtlinie über die Befehlszeile global

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie global zu binden und die Konfiguration zu überprüfen:

bind tm global -policyName <policyname> [-priority <priority>]
<!--NeedCopy-->

Beispiel

> bind tm global -policyName session-pol
 Done

> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/*.gif'
        Action: session-profile
        Policy is bound to following entities
        1) TM GLOBAL    PRIORITY : 0
 Done

<!--NeedCopy-->

So binden Sie eine Sitzungsrichtlinie über die Befehlszeile an einen virtuellen Authentifizierungsserver

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um eine Sitzungsrichtlinie an eine virtuelle Authentifizierung zu binden und die Konfiguration zu überprüfen:

bind authentication vserver <name> -policy <policyname> [-priority <priority>]
<!--NeedCopy-->

Beispiel

bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
<!--NeedCopy-->

So lösen Sie eine Sitzungsrichtlinie über die Befehlszeile von einem virtuellen Authentifizierungsserver

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Bindung einer Sitzungsrichtlinie von einem virtuellen Authentifizierungsserver aufzuheben und die Konfiguration zu überprüfen:

unbind authentication vserver <name> -policy <policyname>
<!--NeedCopy-->

Beispiel

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
<!--NeedCopy-->

So lösen Sie die Bindung einer global gebundenen Sitzungsrichtlinie über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Bindung einer global gebundenen Sitzungsrichtlinie aufzuheben:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

Beispiel

unbind tm global -policyName Session-Pol-1
Done
<!--NeedCopy-->

So entfernen Sie eine Sitzungsrichtlinie über die Befehlszeile

Trennen Sie zuerst die Sitzungsrichtlinie von global, und geben Sie dann an der Eingabeaufforderung die folgenden Befehle ein, um eine Sitzungsrichtlinie zu entfernen und die Konfiguration zu überprüfen:

rm tm sessionPolicy <name>
<!--NeedCopy-->

Beispiel


rm tm sessionPolicy Session-Pol-1
Done

<!--NeedCopy-->

So konfigurieren und binden Sie Sitzungsrichtlinien mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Sitzung.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Sitzung.
  3. Führen Sie im Detailbereich auf der Registerkarte Richtlinien eine der folgenden Aktionen aus:
    • Um eine neue Sitzungsrichtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Sitzungsrichtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Dialogfeld Sitzungsrichtlinie erstellen oder Sitzungsrichtlinie konfigurieren die Werte für die Parameter ein oder wählen Sie sie aus.
    • name* — policyName (Kann für eine zuvor konfigurierte Sitzungsrichtlinie nicht geändert werden.)
    • Profil anfordern*—actionName
    • Ausdruck* — Regel (Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unter dem Textbereich Ausdruck auswählen und dann Ihren Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und das Dropdown-Menü zu öffnen. listet darin auf, um deinen Ausdruck zu konstruieren.)
  5. Klicken Sie auf Erstellen oder OK. Die von Ihnen erstellte Richtlinie wird im Detailbereich der Seite Sitzungsrichtlinien und -profile angezeigt.
  6. Um eine Sitzungsrichtlinie global zu binden, wählen Sie im Detailbereich Globale Bindungen aus der Dropdownliste Aktion aus, und füllen Sie das Dialogfeld aus.
    • Wählen Sie den Namen der Sitzungsrichtlinie aus, die Sie global binden möchten.
    • Klicken Sie auf OK.
  7. Um eine Sitzungsrichtlinie an einen virtuellen Authentifizierungsserver zu binden, klicken Sie im Navigationsbereich auf Virtuelle Server, und fügen Sie diese Richtlinie zur Richtlinienliste hinzu.
    • Wählen Sie im Detailbereich den virtuellen Server aus, und klicken Sie dann auf Bearbeiten.
    • Klicken Sie in der Erweiterten Auswahl rechts neben dem Detailbereich auf Richtlinien.
    • Wählen Sie eine Richtlinie aus oder klicken Sie auf das Plus-Symbol, um eine Richtlinie hinzuzufügen.
    • Ändern Sie in der Spalte Priorität links die Standardpriorität, um sicherzustellen, dass die Richtlinie in der richtigen Reihenfolge ausgewertet wird.
    • Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Richtlinie erfolgreich konfiguriert wurde.

Globale Sitzungseinstellungen

Zusätzlich zum oder anstelle der Erstellung von Sitzungsprofilen und Richtlinien können Sie globale Sitzungseinstellungen konfigurieren. Diese Einstellungen steuern die Sitzungskonfiguration, wenn es keine explizite Richtlinie gibt, die sie überschreibt.

So konfigurieren Sie die Sitzungseinstellungen über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die globalen Sitzungseinstellungen zu konfigurieren und die Konfiguration zu überprüfen:

set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
<!--NeedCopy-->

Beispiel

> set tm sessionParameter -sessTimeout 30
  Done
> set tm sessionParameter -defaultAuthorizationAction DENY
  Done
> set tm sessionParameter -SSO ON
  Done
> set tm sessionParameter -ssoCredential PRIMARY
  Done
<!--NeedCopy-->

So konfigurieren Sie die Sitzungseinstellungen mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Geben Sie im Dialogfeld Globale Sitzungseinstellungen Werte für die Parameter ein oder wählen Sie sie aus.
    • Sitzungs-Timeout — SessTimeout
    • Standard-Autorisierungsaktion — DefaultAuthorizationAction
    • Einmaliges Anmelden bei Webanwendungen — SSO
    • Index der Anmeldeinformationen — SSOCredential
    • Domäne für einmaliges Anmelden — SSODomain
    • Nur-HTTP-Cookie — Nur HTTP Cookie
    • Persistentes Cookie aktivieren — PersistentCookie
    • Persistente Cookie-Gültigkeit (Minuten) — Persistente Cookie-Gültigkeit
    • Homepage—Homepage
  4. Klicken Sie auf OK.

Traffic-Einstellungen

Wenn Sie formularbasiertes oder SAML-Single-Sign-On (SSO) für Ihre geschützten Anwendungen verwenden, konfigurieren Sie diese Funktion in den Verkehrseinstellungen. SSO ermöglicht es Ihren Benutzern, sich einmal anzumelden, um auf alle geschützten Anwendungen zuzugreifen, anstatt dass sie sich separat anmelden müssen, um auf jede einzelne zuzugreifen.

Formularbasiertes SSO ermöglicht es Ihnen, ein Webformular Ihres eigenen Designs als Anmeldemethode anstelle eines generischen Popup-Fensters zu verwenden. Sie können daher Ihr Firmenlogo und andere Informationen, die Ihre Benutzer möglicherweise sehen sollen, in das Anmeldeformular einfügen. SAML SSO ermöglicht es Ihnen, eine Citrix ADC-Appliance oder eine virtuelle Appliance-Instanz für die Authentifizierung bei einer anderen Citrix ADC-Appliance im Namen von Benutzern zu konfigurieren, die sich bei der ersten Appliance authentifiziert haben.

Um einen der beiden SSO-Typen zu konfigurieren, erstellen Sie zunächst ein Formulare- oder SAML-SSO-Profil. Als Nächstes erstellen Sie ein Verkehrsprofil und verknüpfen es mit dem von Ihnen erstellten SSO-Profil. Als Nächstes erstellen Sie eine Richtlinie und verknüpfen sie mit dem Verkehrsprofil. Schließlich binden Sie die Richtlinie global oder an einen virtuellen Authentifizierungsserver, um Ihre Konfiguration in Kraft zu setzen.

Traffic-Profile

Nachdem Sie mindestens ein Formular oder ein SAML-SSO-Profil erstellt haben, müssen Sie als Nächstes ein Verkehrsprofil erstellen.

Hinweis:

In dieser Funktion bedeuten die Begriffe “Profil” und “Aktion” dasselbe.

So erstellen Sie ein Verkehrsprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

Beispiel

add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

So ändern Sie ein Sitzungsprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

Beispiel

set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

So entfernen Sie ein Sitzungsprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

rm tm trafficAction <name>
<!--NeedCopy-->

Beispiel

rm tm trafficAction Traffic-Prof-1
<!--NeedCopy-->

So konfigurieren Sie Verkehrsprofile mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Verkehr.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Verkehr.
  3. Klicken Sie im Detailbereich auf die Registerkarte Profile.
  4. Führen Sie auf der Registerkarte Profile einen der folgenden Schritte aus:
    • Um ein neues Verkehrsprofil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes Verkehrsprofil zu ändern, wählen Sie das Profil aus und klicken dann auf Bearbeiten.
  5. Geben Sie im Dialogfeld Verkehrsprofil erstellen oder Verkehrsprofil konfigurieren Werte für die Parameter an.
    • name*—name (Kann für eine zuvor konfigurierte Sitzungsaktion nicht geändert werden.)
    • App-Timeout — App-Timeout
    • Einmaliges Anmelden — SSO
    • Formular SSO-Aktion — FormsSOAction
    • SAML SSO-Aktion — SAMLSSO-Aktion
    • Persistentes Cookie aktivieren — PersistentCookie
    • Abmeldung initiieren — Logout initiieren
  6. Klicken Sie auf Erstellen oder OK. Das von Ihnen erstellte Verkehrsprofil wird je nach Bedarf in den Verkehrsrichtlinien, Profilen und entweder im Bereich SSO-Profile oder SAML-SSO-Profile erstellen angezeigt.

Unterstützung für AAA.USER- und AAA.LOGIN-Ausdrücke

Der AAA.USER-Ausdruck ist jetzt implementiert, um die vorhandenen HTTP.REQ.USER-Ausdrücke zu ersetzen. Der AAA.USER-Ausdruck ist für den Umgang mit Nicht-HTTP-Datenverkehr wie dem Secure Web Gateway (SWG) und dem rollenbasierten Zugriff (RBA) anwendbar. Die AAA.USER-Ausdrücke entsprechen HTTP.REQ.USER-Ausdrücken.

Sie können den Ausdruck bei verschiedenen Aktionen oder Profilkonfiguration verwenden.

Geben Sie an der Eingabeaufforderung ein:

add tm trafficAction <name> [SSO (ON|OFF)] [-userExpression <string>]

add tm trafficAction <name> [SSO (ON|OFF)] [-passwdExpression <string>]

<!--NeedCopy-->

Beispiel

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.PASSWD"

add tm trafficPolicy tm_pol true tm_act

bind lb vserver lb1 -policyName tm_pol -priority 2
<!--NeedCopy-->

Hinweis:

Wenn Sie den Ausdruck HTTP.REQ.USER verwenden, erscheint eine Warnmeldung “HTTP.REQ.USER eingestellt. Verwenden Sie stattdessen AAA.USER”.

  • AAA.LOGIN Expression. Der LOGIN-Ausdruck steht für Pre-Login, auch als Anmeldeanforderung bezeichnet. Die Anmeldeanforderung kann von Citrix Gateway, SAML IdP oder von OAuth Authentifizierung stammen. Der Citrix ADC abstrahiert die erforderlichen Attribute aus der Richtlinienkonfiguration. Der AAA.LOGIN-Ausdruck enthält die Attribute, die basierend auf folgendem abgerufen werden können:
    • AAA.LOGIN.USERNAME. Der Benutzername (falls gefunden) wird aus der aktuellen Anmeldeanforderung abgerufen. Derselbe Ausdruck, der auf eine Nicht-Anmeldeanforderung angewendet wird (bestimmt durch eine Authentifizierung, Autorisierung und Überwachung), führt zu einer leeren Zeichenfolge.
    • AAA.LOGIN.PASSWORD. Das Benutzerkennwort (falls gefunden) wird aus der aktuellen Anmeldeanfrage abgerufen. Der Ausdruck führt zu einer leeren Zeichenfolge, wenn das Kennwort nicht gefunden wird.
    • AAA.LOGIN.PASSWORD2. Das zweite Kennwort (falls gefunden) wird aus der Anmeldeanfrage abgerufen.
    • AAA.LOGIN.DOMAIN. Die Domäneninformationen werden aus der Anmeldeanfrage abgerufen.
  • AAA.USER.ATTRIBUTE (“#”). Der Ausdruck wird verwendet, um das Benutzerattribut zu speichern. Hier kann # entweder ein ganzzahliger Wert (zwischen 1 und 16) oder ein Zeichenfolgenwert sein. Sie können diese Indexwerte verwenden, indem Sie den Ausdruck AAA.USER.ATTRIBUTE (“#”) verwenden. Das Authentifizierungs-, Autorisierungs- und Überwachungsmodul sucht das Benutzersitzungsattribut und AAA.USER.ATTRIBUTE("#") würde die Hash-Tabelle nach diesem bestimmten Attribut abfragen. Wenn beispielsweise Attributes("samaccountname")auf gesetzt ist, würde AAA.USER.ATTRIBUTE("samaccountname") die Hash-Map abfragen und den samaccountname entsprechenden Wert abrufen.

Traffic Richtlinien

Nachdem Sie ein oder mehrere Formular-SSO- und Verkehrsprofile erstellt haben, erstellen Sie Verkehrsrichtlinien und binden die Richtlinien dann entweder global oder an einen virtuellen Traffic-Management-Server, um sie in Kraft zu setzen.

So erstellen Sie eine Verkehrsrichtlinie über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

add tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

Beispiel

add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

So ändern Sie eine Verkehrsrichtlinie über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

set tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

Beispiel

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

So binden Sie eine Verkehrsrichtlinie über die Befehlszeile global

Geben Sie an der Eingabeaufforderung ein:

bind tm global -policyName <string> [-priority <priority>]
<!--NeedCopy-->

Beispiel

bind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

So binden Sie eine Verkehrsrichtlinie über die Befehlszeile an einen virtuellen Lastausgleich- oder Content Switching-Server

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

bind lb vserver <name> -policy <policyName> [-priority <priority>]

bind cs vserver <name> -policy <policyName> [-priority <priority>]
<!--NeedCopy-->

Beispiel

bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
<!--NeedCopy-->

So lösen Sie die Bindung einer global gebundenen Verkehrsrichtlinie über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

Beispiel

unbind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

So lösen Sie eine Verkehrsrichtlinie über die Befehlszeile von einem virtuellen Lastausgleich- oder Content Switching-Server

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

unbind lb vserver <name> -policy <policyname>

unbind cs vserver <name> -policy <policyname>
<!--NeedCopy-->

Beispiel

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
<!--NeedCopy-->

So entfernen Sie eine Verkehrsrichtlinie über die Befehlszeile

Entbinden Sie zuerst die Sitzungsrichtlinie von global, und geben Sie dann an der Eingabeaufforderung Folgendes ein:

rm tm trafficPolicy <name>
<!--NeedCopy-->

Beispiel

rm tm trafficPolicy Traffic-Pol-1
<!--NeedCopy-->

So konfigurieren und binden Sie Verkehrsrichtlinien mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Verkehr.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Verkehr.
  3. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Um eine neue Sitzungsrichtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Sitzungsrichtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Dialogfeld “Traffic Policy erstellen “ oder “ Verkehrsrichtlinie konfigurieren “ Werte für die Parameter an.
    • name* — policyName (Kann für eine zuvor konfigurierte Sitzungsrichtlinie nicht geändert werden.)
    • Profil* — Aktionsname
    • Ausdruck — Regel (Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unter dem Textbereich Ausdruck auswählen und dann Ihren Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und die Dropdownlisten darin zu verwenden konstruiere deinen Ausdruck.)
  5. Klicken Sie auf Erstellen oder OK. Die von Ihnen erstellte Richtlinie wird im Detailbereich der Seite Sitzungsrichtlinien und -profile angezeigt.

Bilden Sie SSO-Profile

Um formularbasiertes SSO zu aktivieren und zu konfigurieren, erstellen Sie zunächst ein SSO-Profil.

Hinweis

  • Formularbasiertes einmaliges Anmelden funktioniert nicht, wenn das Formular so angepasst ist, dass es Javascript enthält.
  • In dieser Funktion bedeuten die Begriffe “Profil” und “Aktion” dasselbe.

So erstellen Sie ein SSO-Formularprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

show tm formSSOAction [<name>]
<!--NeedCopy-->

Beispiel

add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

So ändern Sie ein Formular SSO über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
<!--NeedCopy-->

Beispiel

set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

So entfernen Sie ein SSO-Formularprofil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

rm tm formSSOAction <name>
<!--NeedCopy-->

Beispiel

rm tm sessionAction SSO-Prof-1
<!--NeedCopy-->

So konfigurieren Sie SSO-Formular-Profile mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Datenverkehr.
  2. Klicken Sie im Detailbereich auf die Registerkarte SSO-Profile für Formulare .
  3. Führen Sie auf der Registerkarte SSO-Profile für Formulare einen der folgenden Schritte aus:
    • Um ein neues Formular-SSO-Profil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes Formular-SSO-Profil zu ändern, wählen Sie das Profil aus, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Dialogfeld Formular-SSO-Profil erstellen oder Formular-SSO-Profil konfigurieren die Werte für die Parameter an:
    • name*—name (Kann für eine zuvor konfigurierte Sitzungsaktion nicht geändert werden.)
    • Aktions-URL*—actionUrl
    • Feld Benutzername*—UserField
    • Kennwort-Feld*—PassField
    • Ausdruck* — SSOSuccessRule
    • Name/Wert-Paar — NameValuePair
    • Größe der Antwort — ResponseSize
    • Extraktion — NV-Typ
    • Methode einreichen — SubmitMethod</span>
  5. Klicken Sie auf Erstellen oder OKund dann auf Schließen. Das Formular SSO-Profil, das Sie erstellt haben, wird im Bereich Verkehrsrichtlinien, Profileund SSO-Formularprofile angezeigt.

SAML SSO-Profile

Um SAML-basiertes SSO zu aktivieren und zu konfigurieren, erstellen Sie zunächst ein SAML-SSO-Profil.

So erstellen Sie ein SAML-SSO-Profil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

Beispiel

add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

So ändern Sie ein SAML-SSO über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

Beispiel

set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

So entfernen Sie ein SAML-SSO-Profil über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

rm tm samlSSOProfile <name>
<!--NeedCopy-->

Beispiel

rm tm sessionAction saml-SSO-Prof-1
<!--NeedCopy-->

So konfigurieren Sie ein SAML-SSO-Profil mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Verkehr.
  2. Klicken Sie im Detailbereich auf die Registerkarte SAML-SSO-Profile .
  3. Führen Sie auf der Registerkarte SAML SSO-Profile einen der folgenden Schritte aus:
    • Um ein neues SAML-SSO-Profil zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes SAML-SSO-Profil zu ändern, wählen Sie das Profil aus und klicken dann auf OpenEdit.
  4. Legen Sie im Dialogfeld SAML-SSO-Profile erstellen oder im Dialogfeld SAML-SSO-Profile konfigurieren die folgenden Parameter fest:
    • Namen*
    • Name des Signaturzertifikats*
    • ACS-URL*
    • Relaisstatusregel*
    • Kennwort senden
    • Name des Ausstellers
  5. Klicken Sie auf Erstellen oder OKund dann auf Schließen. Das von Ihnen erstellte SAML-SSO-Profil wird im Bereich Verkehrsrichtlinien, Profile und SAML-SSO-Profile angezeigt.

Sitzungstimeout für OWA 2010

Sie können jetzt OWA 2010-Verbindungen nach einer bestimmten Inaktivitätszeit zum Timeout zwingen. OWA sendet wiederholte Keepalive-Anfragen an den Server, um Timeouts zu verhindern. Wenn Sie die Verbindungen offen halten, kann das einmalige Anmelden beeinträchtigt werden.

So zwingen Sie OWA 2010 über die Befehlszeile zu einem Timeout nach einem bestimmten Zeitraum

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
<!--NeedCopy-->

Ersetzen Sie <actname> durch den Namen für Ihre Verkehrsrichtlinie. Ersetzen Sie <mins> durch die Anzahl der Minuten, nach denen ein erzwungenes Timeout eingeleitet werden soll. Ersetzen Sie <forcedTimeout> durch einen der folgenden Werte:

-START — Startet den Timer für erzwungenes Timeout, wenn noch kein Timer gestartet wurde. Wenn ein Lauftimer existiert, hat dies keine Auswirkung. -STOP — Stoppt einen Lauftimer. Wenn kein Lauftimer gefunden wird, hat dies keine Auswirkung. -RESET — Startet einen Lauftimer neu. Wenn kein Lauftimer gefunden wird, startet einen Timer, als ob die START-Option verwendet worden wäre.

add tm trafficPolicy <polname> <rule> <actname>
<!--NeedCopy-->

Ersetzen Sie <polname> durch den Namen Ihrer Verkehrsrichtlinie. Ersetzen Sie <rule> durch eine Regel in der Citrix ADC Advanced-Richtlinie.

bind lb vserver <vservername> –policyName <name> -priority <number>
<!--NeedCopy-->

Ersetzen Sie <vservername> durch den Namen des virtuellen Authentifizierungs-, Autorisierungs- und Audit-Traffic-Management-Servers. Ersetzen Sie <priority> durch eine Ganzzahl, die die Priorität der Richtlinie angibt.

Beispiel

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
<!--NeedCopy-->