Citrix Gateway

EPA-Scan nach einer zulässigen Liste von MAC-Adressen

Ab Citrix ADC Release 13.1 können Sie einen EPA-Scan für eine MAC-Adresse der zulässigen Liste konfigurieren, ohne alle IP-Adressen im Ausdruck auflisten zu müssen. Stattdessen können Sie Mustersätze für diese Konfiguration verwenden.

Vor Citrix ADC Release 13.1 musste die gesamte zulässige Liste von MAC-Adressen als Teil eines EPA-Ausdrucks angegeben werden. Zum Beispiel;

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1A-C8-9C-83-BO-F7,\ 02-50-F2-0A-77-7C[COMMENT: MAC Address]")/
<!--NeedCopy-->

So konfigurieren Sie den EPA-Scan für eine zulässige Liste von MAC-Adressen mithilfe der CLI

  1. Speichern Sie die MAC-Adressen innerhalb von Mustersätzen.

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```

  2. Erstellen Sie mit AAA.LOGIN.CLIENT_MAC_ADDR.equals_any() einen entsprechenden Richtlinienausdruck für jeden Mustersatz

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    Beispiel:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. Erstellen von EPA-Scans mithilfe der konfigurierten Richtlinienaus

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    add authentication epaAction <name>  -csecexpr <expression>
    

    Beispiel:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    
    add authentication Policy epapol -rule true -action epa
    
    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    
    

So konfigurieren Sie den EPA-Scan für eine zulässige Liste von MAC-Adressen mithilfe der GUI

  1. Konfigurieren Sie einen Mustersatz. Einzelheiten finden Sie unter Konfigurieren eines Mustersatzes.

  2. Erstellen Sie für jeden Mustersatz einen entsprechenden Richtlinienausdruck.

    Wählen Sie beim Konfigurieren des Ausdrucks im Ausdruckseditor AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY (Zeichenfolge) > Mustersatzaus.

    Einzelheiten zum Konfigurieren eines erweiterten Ausdrucks finden Sie unter Konfigurieren erweiterter Richtlinienausdrücke in einer Richtlinie.

  3. Erstellen Sie einen EPA-Scan für den Ausdruck, der in den vorherigen Schritten konfiguriert wurde. Einzelheiten finden Sie unter Erweiterte Endpoint Analysis-Scans.

Zu beachtendes Punkte

  • Das Konfigurieren eines EPA-Scans für eine zulässige Liste von MAC-Adressen gilt nur für die nFactor-Authentifizierungsabläufe.
  • Die MAC-Adressen müssen im Format 1A-2B-3C-4D-5E-6F konfiguriert sein.
  • Das Format für den EPA-Scan ist mac-addr_0_<policy-expression-name>. In diesem Format mac-addr_0 ist ein statischer Wert, nach dem Sie den Namen des Richtlinienausdrucks eingeben müssen mac-addr_0.
  • Die EPA-Scans können mithilfe der Symbole entsprechend getrennt werden ( ||, &&).
  • Um viele MAC-Adressen zu einem Mustersatz hinzuzufügen, können Sie den dateibasierten Mustersatzimport verwenden. Es wird empfohlen, für eine optimale Leistung maximal 3000 Einträge/Mustersatz zu speichern.
  • Wenn MAC-Adressen in einer Datei vorhanden sind, können Sie einen Mustersatz erstellen, indem Sie dateibasierte Mustersätze importieren und während des Imports das entsprechende Trennzeichen angeben.

Referenzen