Citrix ADC

Configuración de usuarios, grupos de usuarios y directivas de comandos

Debe definir sus usuarios configurando cuentas para ellos. Para simplificar la administración de cuentas de usuario, puede organizarlas en grupos. Puede crear directivas de comandos o utilizar directivas de comandos integradas para regular el acceso de los usuarios a los comandos.

También puede personalizar la línea de comandos de un usuario. Las solicitudes se pueden definir en la configuración de un usuario, en una configuración de grupo de usuarios y en la configuración global del sistema. El mensaje que se muestra para un usuario determinado está determinado por el siguiente orden de precedencia:

  1. Mostrar la solicitud tal como se define en la configuración del usuario.
  2. Mostrar la solicitud tal como se define en la configuración de grupo para el grupo del usuario.
  3. Mostrar la solicitud tal como se define en la configuración global del sistema.

Ahora puede especificar un valor de tiempo de espera para las sesiones de CLI inactivas para un usuario del sistema. Si la sesión de CLI de un usuario está inactiva durante un tiempo que excede el valor de tiempo de espera, el dispositivo Citrix ADC finaliza la conexión. El tiempo de espera se puede definir en la configuración de un usuario, en una configuración de grupo de usuarios y en la configuración global del sistema. El tiempo de espera para las sesiones de CLI inactivas para un usuario se determina por el siguiente orden de precedencia:

  1. Valor de tiempo de espera tal como se define en la configuración del usuario.
  2. Valor de tiempo de espera tal como se define en la configuración del grupo para el grupo del usuario.
  3. Valor de tiempo de espera tal como se define en la configuración global del sistema.

Un administrador raíz de Citrix ADC puede configurar el límite máximo de sesiones simultáneas para los usuarios del sistema. Al restringir el límite, puede reducir el número de conexiones abiertas y mejorar el rendimiento del servidor. Siempre que el recuento de CLI esté dentro del límite configurado, los usuarios simultáneos pueden iniciar sesión en la GUI cualquier número de veces. Sin embargo, si el número de sesiones CLI alcanza el límite configurado, los usuarios ya no podrán iniciar sesión en la GUI. Por ejemplo, si el número de sesiones simultáneas está configurado en 20, los usuarios simultáneos pueden iniciar sesión en 19 sesiones CLI. Pero si el usuario ha iniciado sesión en la sesión de 20<sup>th</sup> CLI, cualquier intento de iniciar sesión en la GUI, CLI o NITRO da como resultado un mensaje de error ((ERROR: Límite de conexión a CFE excedido).

Nota

El número predeterminado de sesiones simultáneas se configura en 20 y el número máximo de sesiones simultáneas se configura en 40.

Configuración de cuentas de usuario

Para configurar cuentas de usuario, basta con especificar nombres de usuario y contraseñas. Puede cambiar contraseñas y eliminar cuentas de usuario en cualquier momento.

Para crear una cuenta de usuario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para crear una cuenta de usuario y verificar la configuración:

  • add system user <username> [-externalAuth ( ENABLED | DISABLED )] [-promptString <string>] [-timeout \<secs>] [-logging ( ENABLED | DISABLED )] [-maxsession <positive_integer>]
  • show system user <userName>

Donde la opción Registro es para que los usuarios externos recopilen datos de registro externamente mediante el weblogging o el mecanismo de registro de auditoría. Si está habilitado, el cliente de auditoría se autentica con Citrix ADC para recopilar registros a través de esta cuenta de usuario.

Ejemplo

> add system user johnd -promptString user-%u-at-%T

Enter password:

Confirm password:

> show system user johnd

user name: john

     Timeout:900 Timeout Inherited From: Global

     External Authentication: ENABLED

     Logging: DISABLED

     Maximum Client Sessions: 20

Para configurar una cuenta de usuario mediante la interfaz gráfica de usuario

Vaya a Sistema > Administración de usuarios > Usuarios y cree el usuario.

Configuración de grupos de usuarios

Después de configurar un grupo de usuarios, puede conceder fácilmente los mismos derechos de acceso a todos los miembros del grupo. Para configurar un grupo, cree el grupo y vincule usuarios al grupo. Puede enlazar cada cuenta de usuario a más de un grupo. La vinculación de cuentas de usuario a varios grupos puede permitir una mayor flexibilidad al aplicar directivas de comandos.

Para crear un grupo de usuarios mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para crear un grupo de usuarios y compruebe la configuración:

  • add system group <groupName> [-promptString <string>] [-timeout <secs>]
  • show system group <groupName>

Ejemplo

> add system group Managers -promptString Group-Managers-at-%h

Para enlazar un usuario a un grupo mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para enlazar una cuenta de usuario a un grupo y verificar la configuración:

  • bind system group <groupName> -userName <userName>
  • show system group <groupName>

Ejemplo

> bind system group Managers -userName user1

Para configurar un grupo de usuarios mediante la interfaz gráfica de usuario

Vaya a Sistema > Administración de usuarios > Grupos y cree el grupo de usuarios.

Nota:

Para agregar miembros al grupo, en la sección Miembros, haga clic en Agregar. Seleccione usuarios de la lista Disponible y agréguelos a la lista Configurada.

Configuración de directivas de comandos

Las directivas de comandos regulan qué comandos, grupos de comandos, servidores virtuales y otras entidades que los usuarios y grupos de usuarios pueden utilizar.

El dispositivo proporciona un conjunto de directivas de comandos integradas y puede configurar directivas personalizadas. Para aplicar las directivas, las vincula a usuarios y/o grupos.

Estos son los puntos clave a tener en cuenta al definir y aplicar políticas de comando.

  • No se pueden crear directivas de comandos globales. Las directivas de comandos deben vincularse directamente a los usuarios y grupos del dispositivo.
  • Los usuarios o grupos sin directivas de comando asociadas están sujetos a la directiva de comandos predeterminada (DENY-ALL) y, por lo tanto, no pueden ejecutar ningún comando de configuración hasta que las directivas de comando adecuadas estén enlazadas a sus cuentas.
  • Todos los usuarios heredan las directivas de los grupos a los que pertenecen.
  • Debe asignar una prioridad a una directiva de comandos cuando la vincule a una cuenta de usuario o a una cuenta de grupo. Esto permite al dispositivo determinar qué directiva tiene prioridad cuando dos o más directivas conflictivas se aplican al mismo usuario o grupo.
  • Los siguientes comandos están disponibles de forma predeterminada para cualquier usuario y no se ven afectados por ningún comando que especifique:
  • help, show cli attribute, set cli prompt, clear cli prompt, show cli prompt, alias, unalias, history, quit, exit, whoami, config, set cli mode, unset cli mode, unset cli mode y show cli mode.

Directivas de comandos integradas

En la tabla siguiente se describen las directivas integradas.

Tabla 1. Directivas de comandos integradas

Nombre de directiva Permite
solo lectura Acceso de solo lectura a todos los comandos show excepto show ns RunningConfig, show ns ns.conf y show para el grupo de comandos Citrix ADC.
operador Acceso de solo lectura y acceso a comandos para habilitar e inhabilitar servicios y servidores.
red Acceso completo, excepto a los comandos set and unset SSL, show ns ns.conf, show ns runningConfig y show gslb runningConfig.
administrador del sistema [Incluido en Citrix ADC 12.0 y versiones posteriores]Un administrador del sistema es menor que un superusuario es condiciones de acceso permitidas en el dispositivo. Un usuario sysadmin puede realizar todas las operaciones de Citrix ADC con las siguientes excepciones: no tiene acceso al shell Citrix ADC, no puede realizar configuraciones de usuario, no puede realizar configuraciones de partición y algunas otras configuraciones como se indica en la directiva de comandos sysadmin.
superusuario Acceso completo. Los mismos privilegios que el usuario nsroot.

Creación de directivas de comandos personalizadas

Se ofrece compatibilidad con expresiones regulares para usuarios con recursos para mantener expresiones más personalizadas y para aquellas implementaciones que requieren la flexibilidad que ofrecen las expresiones regulares. Para la mayoría de los usuarios, las directivas de comando integradas son suficientes. Los usuarios que necesitan niveles de control adicionales pero no están familiarizados con las expresiones regulares pueden querer utilizar únicamente expresiones simples, como las de los ejemplos proporcionados en esta sección, para mantener la legibilidad de las directivas.

Cuando utilice una expresión regular para crear una directiva de comandos, tenga en cuenta lo siguiente.

  • Cuando utilice expresiones regulares para definir comandos que se verán afectados por una directiva de comandos, debe incluir los comandos entre comillas dobles. Por ejemplo, para crear una directiva de comandos que incluya todos los comandos que comiencen por show, escriba lo siguiente:
  • “^mostrar. *$”
  • Para crear una directiva de comandos que incluya todos los comandos que comiencen por rm, escriba lo siguiente:
  • “^rm. *$”
  • Las expresiones regulares utilizadas en las directivas de comando no distinguen entre mayúsculas y minúsculas.

En la tabla siguiente se enumeran ejemplos de expresiones regulares:

Cuadro 2. Ejemplos de expresiones regulares para directivas de comandos

Especificación de comandos Coincide con estos comandos
“^rms+. *$” Todas las acciones de eliminación, ya que todas las acciones de eliminación comienzan con la cadena rm, seguida de un espacio y parámetros adicionales como grupos de comandos, tipos de objeto de comando y argumentos.
“^muestra+. *$” Todos los comandos show, ya que todas las acciones show comienzan con la cadena show, seguido de un espacio y parámetros adicionales, como grupos de comandos, tipos de objeto de comando y argumentos.
“^shell$” El comando shell solo, pero no combinado con parámetros adicionales, como grupos de comandos, tipos de objeto de comando y argumentos.
“^adds+vservers+. *$” Todas crean acciones de servidor virtual, que consisten en el comando add virtual server seguido de un espacio y parámetros adicionales, como grupos de comandos, tipos de objeto de comando y argumentos.
“^adds+ (lbs+vserver) s+. *” Todas crean acciones de servidor virtual lb, que consisten en el comando add lb virtual server seguido de un espacio y parámetros adicionales como grupos de comandos, tipos de objeto de comando y argumentos.

Para obtener información acerca de las directivas de comandos integradas, consulte la tabla Directiva de comandos integrada.

Para crear una directiva de comandos mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para crear una directiva de comandos y verificar la configuración:

  • add system cmdPolicy <policyname> <action> <cmdspec>
  • show system cmdPolicy <policyName>

Ejemplo

> add system cmdPolicy read_all ALLOW (^shows+(!system)(!ns ns.conf)(!ns runningConfig).*)|(^stat.*)

Para configurar una directiva de comandos mediante la interfaz gráfica de usuario

Vaya a Sistema > Administración de usuarios > Directivas de comandos y cree la directiva de comandos.

Vinculación de directivas de comandos a usuarios y grupos

Una vez que haya definido las directivas de comandos, debe vincularlas a las cuentas de usuario y grupos apropiados. Cuando vincule una directiva, debe asignarle una prioridad para que el dispositivo pueda determinar qué directiva de comandos debe seguir cuando dos o más directivas de comandos aplicables estén en conflicto.

Las directivas de comando se evalúan en el siguiente orden:

  • Las directivas de comando vinculadas directamente a los usuarios y los grupos correspondientes se evalúan según el número de prioridad. Una directiva de comando con un número de prioridad inferior se evalúa antes que una con un número de prioridad mayor. Por lo tanto, los privilegios que la directiva de comandos con números inferiores concede o deniega explícitamente no se anulan por una directiva de comandos con números superiores.
  • Cuando dos directivas de comando, una vinculada a una cuenta de usuario y otra a un grupo, tienen el mismo número de prioridad, la directiva de comandos vinculada directamente a la cuenta de usuario se evalúa primero.

Para enlazar directivas de comandos a un usuario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para enlazar una directiva de comandos a un usuario y verificar la configuración:

  • bind system user <userName> -policyName <policyName> <priority>
  • show system user <userName>

Ejemplo

> bind system user user1 -policyName read_all 1

Para enlazar directivas de comandos a un usuario mediante la interfaz gráfica de usuario

Vaya a Sistema > Administración de usuarios > Usuarios, seleccione el usuario y enlace las directivas de comando.

Opcionalmente, puede modificar la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden adecuado.

Para enlazar directivas de comandos a un grupo mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para enlazar una directiva de comandos a un grupo de usuarios y compruebe la configuración:

  • bind system group <groupName> -policyName <policyName> <priority>
  • show system group <groupName>

Ejemplo

> bind system group Managers -policyName read_all 1

Para enlazar directivas de comandos a un grupo mediante la interfaz gráfica de usuario

Vaya a Sistema > Administración de usuarios > Grupos, seleccione las directivas de comando de grupo y enlace.

Opcionalmente, puede modificar la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden adecuado.

Configuración de usuarios, grupos de usuarios y directivas de comandos