Citrix ADC

Autorisierungsrichtlinien

Wenn Sie eine Autorisierungsrichtlinie konfigurieren, können Sie sie so einstellen, dass der Zugriff auf Netzwerkressourcen im internen Netzwerk zugelassen oder verweigert wird. Um Benutzern beispielsweise den Zugriff auf das 10.3.3.0-Netzwerk zu ermöglichen, verwenden Sie den folgenden Ausdruck:

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

Autorisierungsrichtlinien werden auf Benutzer und Gruppen angewendet. Nachdem ein Benutzer authentifiziert wurde, führt Citrix Gateway eine Gruppenautorisierungsprüfung durch, indem die Gruppeninformationen des Benutzers von einem RADIUS-, LDAP- oder TACACS+-Server abrufen. Wenn Gruppeninformationen für den Benutzer verfügbar sind, überprüft Citrix Gateway die für die Gruppe zulässigen Netzwerkressourcen.

Um zu steuern, auf welche Ressourcen Benutzer zugreifen können, müssen Sie Autorisierungsrichtlinien erstellen. Wenn Sie keine Autorisierungsrichtlinien erstellen müssen, können Sie die globale Standardautorisierung konfigurieren.

Wenn Sie innerhalb der Autorisierungsrichtlinie einen Ausdruck erstellen, der den Zugriff auf einen Dateipfad verweigert, können Sie nur den Unterverzeichnispfad und nicht das Stammverzeichnis verwenden. Verwenden Sie beispielsweise fs.path enthält “\\dir1\\dir2” anstelle von fs.path enthält “\\rootdir\\dir1\\dir2”. Wenn Sie in diesem Beispiel die zweite Version verwenden, schlägt die Richtlinie fehl.

Nachdem Sie die Autorisierungsrichtlinie konfiguriert haben, binden Sie sie dann an einen Benutzer oder eine Gruppe.

Standardmäßig werden Autorisierungsrichtlinien zuerst anhand von Richtlinien überprüft, die Sie an den virtuellen Server binden, und dann gegen global gebundene Richtlinien. Wenn Sie eine Richtlinie global binden und möchten, dass die globale Richtlinie Vorrang vor einer Richtlinie hat, die Sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden, können Sie die Prioritätsnummer der Richtlinie ändern. Prioritätsnummern beginnen bei Null. Eine niedrigere Prioritätszahl gibt der Richtlinie eine höhere Priorität.

Wenn die globale Richtlinie beispielsweise die Prioritätsnummer eins hat und der Benutzer eine Priorität von zwei hat, wird zuerst die globale Authentifizierungsrichtlinie angewendet.

Wichtig:

  • Klassische Autorisierungsrichtlinien werden nur auf TCP-Datenverkehr angewendet.
  • Erweiterte Autorisierungsrichtlinie kann auf alle Arten von Datenverkehr (TCP/UDP/ICMP/DNS) angewendet werden.

    • Um Richtlinien auf UDP/ICMP/DNS-Datenverkehr anzuwenden, müssen Richtlinien vom Typ UDP_REQUEST, ICMP_REQUEST bzw. DNS_REQUEST gebunden sein.

    • Während der Bindung, wenn “Typ” nicht explizit erwähnt wird oder “Typ” auf REQUEST gesetzt ist, ändert sich das Verhalten nicht von früheren Builds, dh diese Richtlinien werden nur auf TCP-Verkehr angewendet.
    • Die an UDP_REQUEST gebundenen Richtlinien gelten nicht für DNS-Datenverkehr. Für DNS müssen Richtlinien explizit an DNS_REQUEST gebunden sein TCP_DNS ähnelt anderen TCP-Anfragen.

Weitere Informationen zu erweiterten Autorisierungsrichtlinien finden Sie im Artikel https://support.citrix.com/article/CTX232237.

Konfigurieren und binden Sie eine Autorisierungsrichtlinie

Konfigurieren einer Autorisierungsrichtlinie mit der GUI

  1. Navigieren Sie zu Citrix Gateway > Richtlinien > Autorisierung.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie unter Name einen Namen für die Richtlinie ein.
  4. Wählen Sie unter Aktiondie Option Zulassen oder Verweigernaus.
  5. Klicken Sie unter Ausdruck auf Ausdruckseditor.
  6. Um mit der Konfiguration des Ausdrucks zu beginnen, klicken Sie auf Auswählen, und wählen Sie die erforderlichen Elemente aus.
  7. Klicken Sie auf Fertig, wenn der Ausdruck abgeschlossen ist.
  8. Klicken Sie auf Erstellen.

Binden einer Autorisierungsrichtlinie an einen Benutzer über die GUI

  1. Navigieren Sie zu Citrix Gateway > Benutzerverwaltung.
  2. Klicken Sie auf AAA Benutzer.
  3. Wählen Sie im Detailbereich einen Benutzer aus, und klicken Sie dann auf Bearbeiten.
  4. Klicken Sie unter Erweiterte Einstellungen auf Autorisierungsrichtlinien.
  5. Wählen Sie auf der Seite Richtlinienbindung eine Richtlinie aus, oder erstellen Sie eine Richtlinie.
  6. Legen Sie unter Prioritätdie Prioritätsnummer fest.
  7. Wählen Sie unter Typden Anforderungstyp aus, und klicken Sie dann auf OK.

Binden einer Autorisierungsrichtlinie an eine Gruppe über die GUI

  1. Navigieren Sie zu Citrix Gateway > Benutzeradministration.
  2. Klicken Sie auf AAA-Gruppen.
  3. Wählen Sie im Detailbereich eine Gruppe aus, und klicken Sie dann auf Bearbeiten.
  4. Klicken Sie unter Erweiterte Einstellungen auf Autorisierungsrichtlinien.
  5. Wählen Sie auf der Seite Richtlinienbindung eine Richtlinie aus, oder erstellen Sie eine Richtlinie.
  6. Legen Sie unter Prioritätdie Prioritätsnummer fest.
  7. Wählen Sie unter Typden Anforderungstyp aus, und klicken Sie dann auf OK.

Autorisierung gibt die Netzwerkressourcen an, auf die Benutzer zugreifen können, wenn sie sich bei Citrix Gateway anmelden. Die Standardeinstellung für die Autorisierung besteht darin, den Zugriff auf alle Netzwerkressourcen zu verweigern. Citrix empfiehlt, die globale Standardeinstellung zu verwenden und dann Autorisierungsrichtlinien zu erstellen, um die Netzwerkressourcen zu definieren, auf die Benutzer zugreifen können.

Sie konfigurieren die Autorisierung für Citrix Gateway mit einer Autorisierungsrichtlinie und Ausdrücke. Nachdem Sie eine Autorisierungsrichtlinie erstellt haben, können Sie sie an die Benutzer oder Gruppen binden, die Sie auf der Appliance konfiguriert haben.

Standardmäßige globale Autorisierung

Um die Ressourcen zu definieren, auf die Benutzer im internen Netzwerk zugreifen können, können Sie die globale Standardautorisierung konfigurieren. Sie konfigurieren die globale Autorisierung, indem Sie den Zugriff auf Netzwerkressourcen global im internen Netzwerk zulassen oder verweigern.

Jede von Ihnen erstellte globale Autorisierungsaktion wird auf alle Benutzer angewendet, denen noch keine Autorisierungsrichtlinie zugeordnet ist, entweder direkt oder über eine Gruppe. Eine Benutzer- oder Gruppenautorisierungsrichtlinie überschreibt immer die globale Autorisierungsaktion. Wenn die Standardautorisierungsaktion auf Verweigern festgelegt ist, müssen Sie Autorisierungsrichtlinien für alle Benutzer oder Gruppen anwenden, um Netzwerkressourcen für diese Benutzer oder Gruppen zugänglich zu machen. Diese Anforderung trägt zur Verbesserung der Sicherheit bei.

So legen Sie die globale Standardautorisierung fest:

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte “Configuration” im Navigationsbereich “Citrix Gateway” und klicken Sie auf “Global Settings”.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Wählen Sie auf der Registerkarte Sicherheit neben Standardautorisierungsaktion Zulassen oder Verweigern aus, und klicken Sie auf OK.
Autorisierungsrichtlinien