Citrix Gateway

Richtlinien und Profile für die Vorauthentifizierung

Warnung:

Authentifizierungs-, Autorisierungs- und Überwachungsvorauthentifizierungsrichtlinien sind ab NetScaler 12.0 Build 56.20 veraltet und als Alternative empfiehlt Citrix die Verwendung der nFactor-Authentifizierung. Weitere Informationen finden Sie unter Thema nFactor-Authentifizierung .

Sie können Citrix Gateway so konfigurieren, dass die clientseitige Sicherheit überprüft wird, bevor Benutzer authentifiziert werden. Diese Methode stellt sicher, dass das Benutzergerät, das eine Sitzung mit Citrix Gateway einrichtet, Ihren Sicherheitsanforderungen entspricht. Sie konfigurieren clientseitige Sicherheitsprüfungen mithilfe von Vorauthentifizierungsrichtlinien, die für einen virtuellen Server oder global spezifisch sind, wie in den folgenden beiden Verfahren beschrieben.

Vorauthentifizierungsrichtlinien bestehen aus einem Profil und einem Ausdruck. Sie konfigurieren das Profil so, dass eine Aktion verwendet wird, um die Ausführung eines Prozesses auf dem Benutzergerät zuzulassen oder zu verweigern. Beispielsweise läuft die Textdatei clienttext.txt auf dem Benutzergerät. Wenn sich der Benutzer bei Citrix Gateway anmeldet, können Sie den Zugriff entweder zulassen oder verweigern, wenn die Textdatei ausgeführt wird. Wenn Sie Benutzern nicht erlauben möchten, sich anzumelden, wenn der Prozess ausgeführt wird, konfigurieren Sie das Profil so, dass der Prozess gestoppt wird, bevor sich Benutzer anmelden.

Sie können die folgenden Einstellungen für Richtlinien vor der Authentifizierung konfigurieren:

  • Ausdruck. Beinhaltet die folgenden Einstellungen, die Ihnen beim Erstellen von Ausdrücken helfen:
    • Ausdruck. Zeigt alle Ausdrücke an.
    • Entsprechen Sie einem beliebigen Ausdruck. Konfiguriert die Richtlinie so, dass sie mit einem der Ausdrücke übereinstimmt, die in der Liste der ausgewählten Ausdrücke enthalten sind.
    • Passen Sie alle Ausdrücke an. Konfiguriert die Richtlinie so, dass sie mit allen Ausdrücken übereinstimmt, die in der Liste der ausgewählten Ausdrücke enthalten sind.
    • Tabellarische Ausdrücke. Erstellt mithilfe der OR (||) or AND (&&) Operatoren einen zusammengesetzten Ausdruck mit den vorhandenen Ausdrücken.
    • Fortgeschrittene Freiform. Erstellt mithilfe der Ausdrucksnamen und der OR (||) and AND (&&) Operatoren benutzerdefinierte zusammengesetzte Ausdrücke. Wählen Sie nur die Ausdrücke aus, die Sie benötigen, und lassen Sie andere Ausdrücke aus der Liste der ausgewählten Ausdrücke aus.
    • Hinzufügen. Erzeugt einen Ausdruck.
    • Modifizieren. Ändert einen vorhandenen Ausdruck.
    • entfernen. Entfernt den ausgewählten Ausdruck aus der Liste zusammengesetzter Ausdrücke.
    • Benannte Ausdrücke. Wählen Sie einen konfigurierten benannten Ausdruck. Sie können benannte Ausdrücke aus dem Menü der Ausdrücke auswählen, die bereits auf Citrix Gateway vorhanden sind.
    • Ausdruck hinzufügen. Fügt der Richtlinie den ausgewählten benannten Ausdruck hinzu.
    • Ersetzen Sie den Ausdruck. Ersetzt den ausgewählten benannten Ausdruck durch die Richtlinie.
    • Vorschau des Ausdrucks. Zeigt die detaillierte Clientsicherheitszeichenfolge an, die auf Citrix Gateway konfiguriert ist, wenn Sie einen benannten Ausdruck auswählen.

Vorauthentifizierungsprofil konfigurieren

So konfigurieren Sie ein Vorauthentifizierungsprofil global über die GUI

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Vorauthentifizierungseinstellungen ändern.
  3. Konfigurieren Sie im Dialogfeld Globale Einstellungen für die Vorauthentifizierung die Einstellungen:
    1. Wählen Sie in AktionZulassen oder Verweigernaus.

      Verweigert oder ermöglicht Benutzern die Anmeldung nach dem Auftreten der Endpoint Analysis.

    2. Geben Sie unter Zu stornende Prozesseden Prozess ein.

      Dies gibt die Prozesse an, die das Endpoint Analysis-Plug-in beenden muss.

    3. Geben Sie unter Zu löschende Dateienden Dateinamen ein.

      Dies gibt die Dateien an, die das Endpoint Analysis-Plug-in löschen muss.

  4. In Expression können Sie den Ausdruck ns_true belassen oder einen Ausdruck für eine bestimmte Anwendung wie Antiviren- oder Sicherheitssoftware erstellen und dann auf OK klicken.

So konfigurieren Sie ein Vorauthentifizierungsprofil über die GUI

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Vorauthentifizierung EPA.
  2. Klicken Sie im Detailbereich auf der Registerkarte Profile auf Hinzufügen.
  3. Geben Sie unter Nameden Namen der zu prüfenden Anwendung ein.
  4. Wählen Sie in AktionERLAUBENoderVERWEIGERN.
  5. Geben Sie unter Zu abgebrochene Prozesseden Namen des Prozesses ein, der gestoppt werden soll.
  6. Geben Sie unter Zu löschende Dateienden Namen der zu löschenden Datei ein, z. B. c:\clientext.txt, klicken Sie auf Erstellen und dann auf Schließen.

Hinweis: Wenn eine Datei gelöscht oder ein Prozess gestoppt werden soll, erhalten Benutzer eine Meldung, in der sie um Bestätigung gebeten werden. Die Schritte 5 und 6 sind optionale Parameter.

Wenn Sie das Konfigurationsdienstprogramm verwenden, um ein Vorauthentifizierungsprofil zu konfigurieren, erstellen Sie die Vorauthentifizierungsrichtlinie, indem Sie auf der Registerkarte Richtlinien auf Hinzufügen klicken. Wählen Sie im Dialogfeld Vorauthentifizierungsrichtlinie erstellen das Profil aus dem Menü Profil anfordern aus.

Konfigurieren von Endpoint Analysis-Ausdrücken

Vorauthentifizierungs- und Clientsicherheitssitzungsrichtlinien beinhalten ein Profil und einen Ausdruck. Die Richtlinie kann ein Profil und mehrere Ausdrücke enthalten. Um ein Benutzergerät nach einer Anwendung, einer Datei, einem Prozess oder einem Registrierungseintrag zu scannen, erstellen Sie einen Ausdruck oder zusammengesetzte Ausdrücke innerhalb der Richtlinie.

Arten von Ausdrücken

Der Ausdruck besteht aus einem Ausdruckstyp und den Parametern des Ausdrucks. Zu den Ausdruckstypen gehören

  • General
  • Sicherheit für Kunden
  • Netzwerkbasiert

Hinzufügen eines vorkonfigurierten Ausdrucks zu einer Vorauthentifizierungsrichtlinie

Citrix Gateway enthält vorkonfigurierte Ausdrücke, die als benannte Ausdrücke bezeichnet werden. Wenn Sie eine Richtlinie konfigurieren, können Sie einen benannten Ausdruck für die Richtlinie verwenden. Sie möchten beispielsweise, dass die Vorauthentifizierungsrichtlinie nach Symantec Antivirus 10 mit aktualisierten Virendefinitionen sucht. Erstellen Sie eine Vorauthentifizierungsrichtlinie und fügen Sie den Ausdruck wie im folgenden Verfahren beschrieben hinzu.

Wenn Sie eine Vorauthentifizierungs- oder Sitzungsrichtlinie erstellen, können Sie den Ausdruck beim Erstellen der Richtlinie erstellen. Sie können die Richtlinie dann mit dem Ausdruck auf virtuelle Server oder global anwenden.

Im folgenden Verfahren wird beschrieben, wie Sie mithilfe des Konfigurationsdienstprogramms einen vorkonfigurierten Antivirus-Ausdruck zu einer Richtlinie hinzufügen.

Hinzufügen eines benannten Ausdrucks zu einer Vorauthentifizierungsrichtlinie

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Vorauthentifizierung EPA.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann auf Öffnen.
  3. Wählen Sie neben Benannte AusdrückeAnti-Virusund wählen Sie das Antivirenprodukt aus der Liste aus.
  4. Klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.

Konfigurieren von benutzerdefinierten Ausdrücken

Ein benutzerdefinierter Ausdruck ist einer, den Sie innerhalb der Richtlinie erstellen. Wenn Sie einen Ausdruck erstellen, konfigurieren Sie die Parameter für den Ausdruck.

Sie können auch benutzerdefinierte Client-Sicherheitsausdrücke erstellen, um auf häufig verwendete Client-Sicherheitszeichenfolgen zu verweisen. Dies erleichtert die Konfiguration von Vorauthentifizierungsrichtlinien und auch die Pflege der konfigurierten Ausdrücke.

Sie möchten beispielsweise einen benutzerdefinierten Client-Sicherheitsausdruck für Symantec Antivirus 10 erstellen und sicherstellen, dass die Virendefinitionen nicht älter als drei Tage sind. Erstellen Sie eine Richtlinie und konfigurieren Sie dann den Ausdruck, um die Virusdefinitionen anzugeben.

Das folgende Verfahren zeigt, wie eine Client-Sicherheitsrichtlinie in einer Vorauthentifizierungsrichtlinie erstellt wird. Sie können dieselben Schritte in einer Sitzungsrichtlinie verwenden.

Erstellen einer Vorauthentifizierungsrichtlinie und eines benutzerdefinierten Sicherheitsausdrucks für

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Vorauthentifizierung EPA.
  2. Klicken Sie im Detailbereich auf Hinzufügen. Das Dialogfeld Vorauthentifizierungsrichtlinie erstellen wird geöffnet.
  3. Geben Sie unter Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordern auf Neu.
  5. Geben Sie im Dialogfeld Authentifizierungsprofil erstellen in das Feld Nameeinen Namen für das Profil ein, wählen Sie unter Aktiondie Option Zulassenaus, und klicken Sie dann auf Erstellen.
  6. Klicken Sie im Dialogfeld Vorauthentifizierungsrichtlinie erstellen neben Mmatch Any Expressionauf Hinzufügen.
  7. Wählen Sie unter AusdruckstypClientsicherheitaus.
  8. Konfigurieren Sie Folgendes:
    1. Wählen Sie unter KomponenteAntivirusaus.
    2. Geben Sie unter Nameeinen Namen für die Anwendung ein.
    3. Wählen Sie in Qualifier die Option Versionaus.
    4. Wählen Sie unter Operator==aus.
    5. Geben Sie im Feld Wertden Wert ein.
    6. Geben Sie unter Frische3 ein, und klicken Sie dann auf OK.
  9. Klicken Sie im Dialogfeld Pre-Authentication Policy erstellen auf Erstellenund dann auf Schließen.

Wenn Sie einen benutzerdefinierten Ausdruck konfigurieren, wird er dem Feld Ausdruck im Richtliniendialogfeld hinzugefügt.

Konfigurieren von zusammengesetzten Ausdrücken

Eine Vorauthentifizierungsrichtlinie kann ein Profil und mehrere Ausdrücke enthalten. Wenn Sie zusammengesetzte Ausdrücke konfigurieren, verwenden Sie Operatoren, um die Bedingungen des Ausdrucks anzugeben. Sie können beispielsweise zusammengesetzte Ausdrücke so konfigurieren, dass das Benutzergerät eine der folgenden Antivirenanwendungen ausführen muss:

  • Symantec Antivirus 10
  • McAfee Antivirus 11
  • Sophos Antivirus 4

Sie konfigurieren den Ausdruck mit dem ODER-Operator, um nach den drei vorhergehenden Anwendungen zu suchen. Wenn Citrix Gateway die richtige Version einer der Anwendungen auf dem Benutzergerät erkennt, können sich Benutzer anmelden. Der Ausdruck im Richtliniendialogfeld sieht wie folgt aus:

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

Weitere Hinweise zu zusammengesetzten Ausdrücken finden Sie unter Konfigurieren von zusammengesetzten Ausdrücken.

Binden von Vorauthentifizierungsrichtlinien

Nachdem Sie die Richtlinie für Vorauthentifizierungs- oder Client-Sicherheitssitzungen erstellt haben, binden Sie die Richtlinie an die Ebene, für die sie gilt. Sie können die Vorauthentifizierungsrichtlinien an virtuelle Server oder global binden.

Erstellen und binden Sie eine Vorauthentifizierungsrichtlinie global

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich auf Einstellungen für die Vorauthentifizierung ändern.
  3. Wählen Sie im Dialogfeld Globale Einstellungen für die Vorauthentifizierung unter Aktiondie Option Zulassen oder Verweigernaus.
  4. Geben Sie unter Name einen Namen für die Richtlinie ein.
  5. Wählen Sie im Dialogfeld Globale Einstellungen für die Vorauthentifizierung neben Benannte Ausdrückedie Option Allgemeinaus, wählen Sie den Wert True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellenund dann auf Schließen.

Binden einer Vorauthentifizierungsrichtlinie an einen virtuellen Server

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld Citrix Gateway Virtual Server konfigurieren auf die Registerkarte Richtlinien und dann auf Vorauthentifizierung.
  4. Klicken Sie unter Details auf Richtlinie einfügen, und wählen Sie dann unter Richtlinienname die Vorauthentifizierungsrichtlinie aus.
  5. Klicken Sie auf OK.

Aufheben und Entfernen von Vorauthentifizierungsrichtlinien

Bei Bedarf können Sie eine Vorauthentifizierungsrichtlinie aus Citrix Gateway entfernen. Bevor Sie eine Vorauthentifizierungsrichtlinie entfernen, lösen Sie die Bindung vom virtuellen Server oder global.

Aufheben der Bindung einer globalen Vorauthentifizierungsrichtlinie

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Vorauthentifizierung EPA.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann unter Aktionauf Globale Bindungen.
  3. Wählen Sie im Dialogfeld Vorauthentifizierungsrichtlinien an Global binden/aufheben eine Richtlinie aus, klicken Sie auf Richtlinie aufheben, und klicken Sie dann auf OK.

Aufheben der Bindung einer Vorauthentifizierungsrichtlinie von einem virtuellen Server

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Virtuelle Server.
  2. Klicken Sie im Dialogfeld Citrix Gateway Virtual Server konfigurieren auf die Registerkarte Richtlinien, und klicken Sie dann auf Vorauthentifizierung.
  3. Wählen Sie die Richtlinie aus und klicken Sie dann auf Richtlinie aufheben.

Wenn die Vorauthentifizierungsrichtlinie nicht gebunden ist, können Sie die Richtlinie aus Citrix Gateway entfernen.

Entfernen einer Vorauthentifizierungsrichtlinie

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Vorauthentifizierung EPA.
  2. wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann auf Entfernen.

Festlegen der Priorität von Vorauthentifizierungsrichtlinien

Sie können mehrere Vorauthentifizierungsrichtlinien haben, die an verschiedene Ebenen gebunden sind. Sie haben beispielsweise eine Richtlinie, die nach einer bestimmten Antivirenanwendung sucht, die an Citrix ADC AAA Global gebunden ist, und eine an den virtuellen Server gebundene Firewall-Richtlinie. Wenn sich Benutzer anmelden, wird zuerst die Richtlinie angewendet, die an den virtuellen Server gebunden ist. Die Richtlinie, die an Citrix ADC AAA Global gebunden ist, wird als zweites angewendet.

Sie können die Reihenfolge ändern, in der die Vorauthentifizierungsscans stattfinden. Damit Citrix Gateway zuerst die globale Richtlinie anwendet, ändern Sie die Prioritätsnummer der an den virtuellen Server gebundenen Richtlinie und geben Sie ihm eine höhere Prioritätsnummer als die global gebundene Richtlinie. Legen Sie beispielsweise die Prioritätsnummer für die globale Richtlinie auf eins und die Richtlinie für virtuelle Server auf zwei fest. Wenn sich Benutzer anmelden, führt Citrix Gateway zuerst den globalen Richtlinienscan und dann den Scan der virtuellen Serverrichtlinie aus.

Ändern der Priorität einer Vorauthentifizierungsrichtlinie

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf der Registerkarte Richtlinien auf Vorauthentifizierung.
  4. Geben Sie unter Priorität die Prioritätsnummer für die Richtlinie ein, und klicken Sie dann auf OK.