Citrix Gateway

Konfigurieren von Autorisierungsrichtlinien

Wenn Sie eine Autorisierungsrichtlinie konfigurieren, können Sie sie so einstellen, dass der Zugriff auf Netzwerkressourcen im internen Netzwerk zugelassen oder verweigert wird. Um Benutzern beispielsweise den Zugriff auf das 10.3.3.0-Netzwerk zu ermöglichen, verwenden Sie den folgenden Ausdruck:

REQ.IP.DESTIP = = 10.3.0.0 -Netzmaske 255.255.0.0

Autorisierungsrichtlinien werden auf Benutzer und Gruppen angewendet. Nachdem ein Benutzer authentifiziert wurde, führt Citrix Gateway eine Gruppenautorisierungsprüfung durch, indem die Gruppeninformationen des Benutzers von einem RADIUS-, LDAP- oder TACACS+-Server abrufen. Wenn Gruppeninformationen für den Benutzer verfügbar sind, überprüft Citrix Gateway die für die Gruppe zulässigen Netzwerkressourcen.

Um zu steuern, auf welche Ressourcen Benutzer zugreifen können, müssen Sie Autorisierungsrichtlinien erstellen. Wenn Sie keine Autorisierungsrichtlinien erstellen müssen, können Sie die globale Standardautorisierung konfigurieren.

Wenn Sie innerhalb der Autorisierungsrichtlinie einen Ausdruck erstellen, der den Zugriff auf einen Dateipfad verweigert, können Sie nur den Unterverzeichnispfad und nicht das Stammverzeichnis verwenden. Verwenden Sie beispielsweise fs.path enthält “\\dir1\\dir2” anstelle von fs.path enthält “\\rootdir\\dir1\\dir2”. Wenn Sie in diesem Beispiel die zweite Version verwenden, schlägt die Richtlinie fehl.

Nachdem Sie die Autorisierungsrichtlinie konfiguriert haben, binden Sie sie dann an einen Benutzer oder eine Gruppe, wie in den folgenden Aufgaben gezeigt.

Standardmäßig werden Autorisierungsrichtlinien zuerst anhand von Richtlinien überprüft, die Sie an den virtuellen Server binden, und dann gegen global gebundene Richtlinien. Wenn Sie eine Richtlinie global binden und möchten, dass die globale Richtlinie Vorrang vor einer Richtlinie hat, die Sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden, können Sie die Prioritätsnummer der Richtlinie ändern. Prioritätsnummern beginnen bei Null. Eine niedrigere Prioritätszahl gibt der Richtlinie eine höhere Priorität.

Wenn die globale Richtlinie beispielsweise die Prioritätsnummer eins hat und der Benutzer eine Priorität von zwei hat, wird zuerst die globale Authentifizierungsrichtlinie angewendet.

Wichtig:

  • Klassische Autorisierungsrichtlinien werden nur auf TCP-Datenverkehr angewendet.
  • Erweiterte Autorisierungsrichtlinie kann auf alle Arten von Datenverkehr (TCP/UDP/ICMP/DNS) angewendet werden.

    • Um Richtlinien auf UDP/ICMP/DNS-Datenverkehr anzuwenden, müssen Richtlinien vom Typ UDP_REQUEST, ICMP_REQUEST bzw. DNS_REQUEST gebunden sein.

    • Während der Bindung, wenn “Typ” nicht explizit erwähnt wird oder “Typ” auf REQUEST gesetzt ist, ändert sich das Verhalten nicht von früheren Builds, dh diese Richtlinien werden nur auf TCP-Verkehr angewendet.

Weitere Informationen zu erweiterten Autorisierungsrichtlinien finden Sie im Artikel https://support.citrix.com/article/CTX232237.

So konfigurieren Sie eine Autorisierungsrichtlinie mithilfe der GUI

  1. Navigieren Sie zu Citrix Gateway > Richtlinien > Autorisierung.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie unter Name einen Namen für die Richtlinie ein.
  4. Wählen Sie unter Aktion die Option Zulassen oder Verweigern aus.
  5. Klicken Sie unter Ausdruck auf Ausdruckseditor.
  6. Um mit der Konfiguration des Ausdrucks zu beginnen, klicken Sie auf Auswählen, und wählen Sie die erforderlichen Elemente aus.
  7. Klicken Sie auf Fertig, wenn der Ausdruck abgeschlossen ist.
  8. Klicken Sie auf Erstellen.

So binden Sie eine Autorisierungsrichtlinie an einen Benutzer mithilfe der GUI

  1. Navigieren Sie zu Citrix Gateway > Benutzerverwaltung.
  2. Klicken Sie auf AAA Benutzer.
  3. Wählen Sie im Detailbereich einen Benutzer aus, und klicken Sie dann auf Bearbeiten.
  4. Klicken Sie unter Erweiterte Einstellungen auf Autorisierungsrichtlinien.
  5. Wählen Sie auf der Seite Richtlinienbindung eine Richtlinie aus, oder erstellen Sie eine Richtlinie.
  6. Legen Sie unter Prioritätdie Prioritätsnummer fest.
  7. Wählen Sie unter Typden Anforderungstyp aus, und klicken Sie dann auf OK.

So binden Sie eine Autorisierungsrichtlinie mithilfe der GUI an eine Gruppe

  1. Navigieren Sie zu Citrix Gateway > Benutzerverwaltung.
  2. Klicken Sie auf AAA-Gruppen.
  3. Wählen Sie im Detailbereich eine Gruppe aus, und klicken Sie dann auf Bearbeiten.
  4. Klicken Sie unter Erweiterte Einstellungen auf Autorisierungsrichtlinien.
  5. Wählen Sie auf der Seite Richtlinienbindung eine Richtlinie aus, oder erstellen Sie eine Richtlinie.
  6. Legen Sie unter Prioritätdie Prioritätsnummer fest.
  7. Wählen Sie unter Typden Anforderungstyp aus, und klicken Sie dann auf OK.
Konfigurieren von Autorisierungsrichtlinien