Configuration des utilisateurs, des groupes d’utilisateurs et des stratégies de commande

Vous devez définir vos utilisateurs en configurant des comptes pour eux. Pour simplifier la gestion des comptes d’utilisateurs, vous pouvez les organiser en groupes. Vous pouvez créer des stratégies de commande ou utiliser des stratégies de commande intégrées pour réguler l’accès des utilisateurs aux commandes.

Vous pouvez également personnaliser l’invite de ligne de commande pour un utilisateur. Les invites peuvent être définies dans la configuration d’un utilisateur, dans une configuration de groupe d’utilisateurs et dans les paramètres de configuration globale du système. L’invite affichée pour un utilisateur donné est déterminée par l’ordre de priorité suivant :

  1. Affichez l’invite telle que définie dans la configuration de l’utilisateur.
  2. Affichez l’invite telle que définie dans la configuration du groupe pour le groupe de l’utilisateur.
  3. Affichez l’invite comme défini dans les paramètres de configuration globale du système.

Vous pouvez désormais spécifier une valeur de délai d’expiration pour les sessions de CLI inactives pour un utilisateur système. Si la session CLI d’un utilisateur est inactive pendant une durée supérieure à la valeur de délai d’expiration, l’appliance Citrix ADC met fin à la connexion. Le délai d’expiration peut être défini dans la configuration d’un utilisateur, dans une configuration de groupe d’utilisateurs et dans les paramètres de configuration globale du système. Le délai d’expiration des sessions de CLI inactives pour un utilisateur est déterminé par l’ordre de priorité suivant :

  1. Valeur de délai d’expiration telle que définie dans la configuration de l’utilisateur.
  2. Valeur de délai d’expiration telle que définie dans la configuration du groupe pour le groupe de l’utilisateur.
  3. Valeur de délai d’expiration telle que définie dans les paramètres de configuration globale du système.

Un administrateur racine Citrix ADC peut configurer la limite maximale de session simultanée pour les utilisateurs système. En limitant la limite, vous pouvez réduire le nombre de connexions ouvertes et améliorer les performances du serveur. Tant que le nombre de CLI est dans la limite configurée, les utilisateurs simultanés peuvent ouvrir une session sur l’interface graphique n’importe quel nombre de fois. Toutefois, si le nombre de sessions CLI atteint la limite configurée, les utilisateurs ne peuvent plus se connecter à l’interface graphique. Par exemple, si le nombre de sessions simultanées est configuré sur 20, les utilisateurs simultanés peuvent ouvrir une session sur 19 sessions CLI. Mais si l’utilisateur est connecté à la session20<sup>th</sup> CLI, toute tentative de connexion à l’interface graphique, l’interface de ligne de commande ou la NITRO entraîne un message d’erreur ((ERREUR : limite de connexion à CFE dépassée).

Remarque

Par défaut, le nombre de sessions simultanées est configuré sur 20 et le nombre maximal de sessions simultanées est configuré sur 40.

Configuration des comptes d’utilisateurs

Pour configurer les comptes d’utilisateur, il vous suffit de spécifier des noms d’utilisateur et des mots de passe. Vous pouvez modifier les mots de passe et supprimer les comptes utilisateur à tout moment.

Pour créer un compte utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer un compte d’utilisateur et vérifier la configuration :

  • add system user <username> [-externalAuth ( ENABLED | DISABLED )] [-promptString <string>] [-timeout \<secs>] [-logging ( ENABLED | DISABLED )] [-maxsession <positive_integer>]
  • show system user <userName>

Où l’option de journalisation est pour les utilisateurs externes de collecter des données de journal en externe à l’aide de weblogging ou d’audit mécanisme de journalisation. Si cette option est activée, le client d’audit s’authentifie auprès de Citrix ADC pour collecter les journaux via ce compte d’utilisateur.

Exemple

> add system user johnd -promptString user-%u-at-%T

Enter password:

Confirm password:

> show system user johnd

user name: john

     Timeout:900 Timeout Inherited From: Global

     External Authentication: ENABLED

     Logging: DISABLED

     Maximum Client Sessions: 20

Pour configurer un compte d’utilisateur à l’aide de l’interface graphique

Accédez à Système > Administration des utilisateurs> Utilisateurs, puis créez l’utilisateur.

Configuration de groupes d’utilisateurs

Après avoir configuré un groupe d’utilisateurs, vous pouvez facilement accorder les mêmes droits d’accès à tous les membres du groupe. Pour configurer un groupe, créez le groupe et liez les utilisateurs au groupe. Vous pouvez lier chaque compte d’utilisateur à plusieurs groupes. La liaison de comptes d’utilisateur à plusieurs groupes peut permettre une plus grande flexibilité lors de l’application de stratégies de commande.

Pour créer un groupe d’utilisateurs à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer un groupe d’utilisateurs et vérifier la configuration :

  • add system group <groupName> [-promptString <string>] [-timeout <secs>]
  • show system group <groupName>

Exemple

> add system group Managers -promptString Group-Managers-at-%h

Pour lier un utilisateur à un groupe à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier un compte d’utilisateur à un groupe et vérifier la configuration :

  • bind system group <groupName> -userName <userName>
  • show system group <groupName>

Exemple

> bind system group Managers -userName user1

Pour configurer un groupe d’utilisateurs à l’aide de l’interface graphique

Accédez à Système > Administration des utilisateurs > Groupes, puis créez le groupe d’utilisateurs.

Remarque :

Pour ajouter des membres au groupe, dans la section Membres, cliquez sur Ajouter. Sélectionnez les utilisateurs dans la liste Disponible et ajoutez-les à la liste Configuré.

Configuration des stratégies de commande

Les stratégies de commande régissent les commandes, groupes de commandes, serveurs virtuels et autres entités que les utilisateurs et les groupes d’utilisateurs sont autorisés à utiliser.

L’appliance fournit un ensemble de stratégies de commande intégrées et vous pouvez configurer des stratégies personnalisées. Pour appliquer les stratégies, vous les liez à des utilisateurs et/ou à des groupes.

Voici les points clés à garder à l’esprit lors de la définition et de l’application de stratégies de commande.

  • Vous ne pouvez pas créer de stratégies de commande globales. Les stratégies de commande doivent être liées directement aux utilisateurs et aux groupes de l’appliance.
  • Les utilisateurs ou les groupes sans stratégies de commande associées sont soumis à la stratégie de commande par défaut (DENY-ALL) et ne sont donc pas en mesure d’exécuter des commandes de configuration tant que les stratégies de commande appropriées ne sont pas liées à leurs comptes.
  • Tous les utilisateurs héritent des stratégies des groupes auxquels ils appartiennent.
  • Vous devez attribuer une priorité à une stratégie de commande lorsque vous la liez à un compte d’utilisateur ou à un compte de groupe. Cela permet à l’appliance de déterminer quelle stratégie a la priorité lorsque deux stratégies conflictuelles ou plus s’appliquent au même utilisateur ou au même groupe.
  • Les commandes suivantes sont disponibles par défaut pour n’importe quel utilisateur et ne sont pas affectées par les commandes que vous spécifiez :
  • help, show cli attribute, set cli prompt, clear cli invite, show cli invite, alias, unalias, history, quit, exit, whoami, config, set cli mode, unset cli mode, unset cli mode et show cli mode.

Stratégies de commande intégrées

Le tableau suivant décrit les stratégies intégrées.

Tableau 1. Stratégies de commande intégrées

Nom de la stratégie Autorise
lecture seule Accès en lecture seule à toutes les commandes show, à l’exception de show ns RunningConfig, show ns ns.conf et des commandes show pour le groupe de commandes Citrix ADC.
opérateur Accès en lecture seule et accès aux commandes pour activer et désactiver les services et les serveurs.
réseau Accès complet, sauf aux commandes SSL set et unset, show ns ns.conf, show ns runningConfig et show gslb runningConfig.
sysadmin [Inclus dans Citrix ADC 12.0 et versions ultérieures]Un sysadmin est inférieur à ce qu’un superutilisateur est les conditions d’accès autorisées sur l’appliance. Un utilisateur sysadmin peut effectuer toutes les opérations de Citrix ADC avec les exceptions suivantes : aucun accès à l’interpréteur de commandes Citrix ADC, ne peut pas effectuer de configurations utilisateur, ne peut pas effectuer de configurations de partition et d’autres configurations comme indiqué dans la stratégie de commande sysadmin.
superutilisateur Accès complet. Mêmes privilèges que l’utilisateur nsroot.

Création de stratégies de commande personnalisées

La prise en charge des expressions régulières est proposée aux utilisateurs disposant des ressources nécessaires pour gérer des expressions plus personnalisées, ainsi qu’aux déploiements nécessitant la flexibilité offerte par les expressions régulières. Pour la plupart des utilisateurs, les stratégies de commande intégrées sont suffisantes. Les utilisateurs qui ont besoin de niveaux de contrôle supplémentaires mais qui ne sont pas familiers avec les expressions régulières peuvent souhaiter utiliser uniquement des expressions simples, telles que celles décrites dans les exemples fournis dans cette section, pour conserver la lisibilité de la stratégie.

Lorsque vous utilisez une expression régulière pour créer une stratégie de commande, gardez à l’esprit les éléments suivants.

  • Lorsque vous utilisez des expressions régulières pour définir des commandes qui seront affectées par une stratégie de commande, vous devez placer les commandes entre guillemets doubles. Par exemple, pour créer une stratégie de commande qui inclut toutes les commandes commençant par show, tapez ce qui suit :
  • “^show .*$”
  • Pour créer une stratégie de commande qui inclut toutes les commandes commençant par rm, tapez ce qui suit :
  • “^rm .*$”
  • Les expressions régulières utilisées dans les stratégies de commande ne sont pas sensibles à la casse.

Le tableau suivant répertorie des exemples d’expressions régulières :

Tableau 2. Exemples d’expressions régulières pour les stratégies de commande

Spécification de commande Correspond à ces commandes
“^rm\s+.*$” Toutes les actions de suppression, car toutes les actions de suppression commencent par la chaîne rm, suivie d’un espace et de paramètres supplémentaires tels que les groupes de commandes, les types d’objets de commande et les arguments.
“^show\s+.*$” Toutes les commandes show, car toutes les actions show commencent par la chaîne show, suivie d’un espace et de paramètres supplémentaires tels que les groupes de commandes, les types d’objets de commande et les arguments.
« ^shell$ » La commande shell seule, mais non combinée avec des paramètres supplémentaires tels que les groupes de commandes, les types d’objets de commande et les arguments.
“^add\s+vserver\s+.*$” Toutes créent des actions de serveur virtuel, qui consistent en la commande add virtual server suivie d’un espace et de paramètres supplémentaires tels que les groupes de commandes, les types d’objets de commande et les arguments.
“^add\s+(lb\s+vserver)\s+.*” Toutes créent des actions de serveur virtuel lb, qui consistent en la commande add lb virtual server suivie d’un espace et de paramètres supplémentaires tels que les groupes de commandes, les types d’objets de commande et les arguments.

Pour plus d’informations sur les stratégies de commande intégrées, reportez-vous auStratégie de commande intégréetableau.

Pour créer une stratégie de commande à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer une stratégie de commande et vérifier la configuration :

  • add system cmdPolicy <policyname> <action> <cmdspec>
  • show system cmdPolicy <policyName>

Exemple

> add system cmdPolicy read_all ALLOW (^shows+(!system)(!ns ns.conf)(!ns runningConfig).*)|(^stat.*)

Pour configurer une stratégie de commande à l’aide de l’interface graphique

Accédez à Système > Administration des utilisateurs > Stratégies de commande et créez la stratégie de commande.

Liaison de stratégies de commande aux utilisateurs et aux groupes

Une fois que vous avez défini vos stratégies de commande, vous devez les lier aux comptes d’utilisateurs et aux groupes appropriés. Lorsque vous liez une stratégie, vous devez lui attribuer une priorité afin que l’appliance puisse déterminer la stratégie de commande à suivre en cas de conflit entre deux ou plusieurs stratégies de commande applicables.

Les stratégies de commande sont évaluées dans l’ordre suivant :

  • Les stratégies de commande liées directement aux utilisateurs et aux groupes correspondants sont évaluées en fonction du numéro de priorité. Une stratégie de commande avec un numéro de priorité inférieur est évaluée avant une stratégie avec un numéro de priorité plus élevé. Par conséquent, les privilèges accordés ou refusés explicitement par la stratégie de commande de numéro inférieur ne sont pas remplacés par une stratégie de commande de numéro supérieur.
  • Lorsque deux stratégies de commande, l’une liée à un compte d’utilisateur et l’autre à un groupe, ont le même numéro de priorité, la stratégie de commande liée directement au compte d’utilisateur est évaluée en premier.

Pour lier des stratégies de commande à un utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier une stratégie de commande à un utilisateur et vérifier la configuration :

  • bind system user <userName> -policyName <policyName> <priority>
  • show system user <userName>

Exemple

> bind system user user1 -policyName read_all 1

Pour lier des stratégies de commande à un utilisateur à l’aide de l’interface graphique graphique

Accédez à Système > Administration des utilisateurs > Utilisateurs, sélectionnez l’utilisateur et liez les stratégies de commande.

Vous pouvez éventuellement modifier la priorité par défaut pour vous assurer que la stratégie est évaluée dans l’ordre approprié.

Pour lier des stratégies de commande à un groupe à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier une stratégie de commande à un groupe d’utilisateurs et vérifier la configuration :

  • bind system group <groupName> -policyName <policyName> <priority>
  • show system group <groupName>

Exemple

> bind system group Managers -policyName read_all 1

Pour lier des stratégies de commande à un groupe à l’aide de l’interface graphique graphique

Accédez à Système > Administration des utilisateurs > Groupes, sélectionnez le groupe et liez les stratégies de commande.

Vous pouvez éventuellement modifier la priorité par défaut pour vous assurer que la stratégie est évaluée dans l’ordre approprié.

Configuration des utilisateurs, des groupes d’utilisateurs et des stratégies de commande