Citrix ADC

Exemple de scénario utilisateur

L’exemple suivant montre comment créer un ensemble complet de comptes d’utilisateurs, de groupes et de stratégies de commande et lier chaque stratégie aux groupes et utilisateurs appropriés. La société, Example Manufacturing, Inc., dispose de trois utilisateurs qui peuvent accéder à l’appliance Citrix ADC :

  • John Doe. Le responsable informatique. John doit être en mesure de voir toutes les parties de la configuration de Citrix ADC, mais n’a pas besoin de modifier quoi que ce soit.

    Maria Ramiez. Administrateur informatique responsable. Maria doit être en mesure de voir et de modifier toutes les parties de la configuration de Citrix ADC à l’exception des commandes Citrix ADC (qui dicte la stratégie locale doit être exécutée lors de l’ouverture d’une session en tant que nsroot).

  • Michael Baldrock. Administrateur informatique en charge de l’équilibrage de charge. Michael doit être en mesure de voir toutes les parties de la configuration de Citrix ADC, mais doit uniquement modifier les fonctions d’équilibrage de charge.

Le tableau suivant présente la répartition des informations réseau, des noms de compte d’utilisateur, des noms de groupe et des stratégies de commande pour l’exemple de société.

Champ Valeur Remarque
Nom d’hôte Citrix ADC ns01.example.net S.O.
Comptes d’utilisateurs johnd, mariar et michaelb John Doe, responsable informatique, Maria Ramirez, administrateur informatique et Michael Baldrock, administrateur informatique.
Groupes Responsables et SysOps Tous les responsables et tous les administrateurs informatiques.
Stratégies de commande read_all, modify_lb et modify_all Autoriser l’accès complet en lecture seule, Autoriser l’accès de modification à l’équilibrage de charge et Autoriser l’accès complet à la modification.

La description suivante vous guide tout au long du processus de création d’un ensemble complet de comptes d’utilisateurs, de groupes et de stratégies de commande sur l’appliance Citrix ADC nommé ns01.example.net.

La description inclut des procédures pour lier les comptes d’utilisateurs et les groupes appropriés entre eux, et lier les stratégies de commande appropriées aux comptes d’utilisateurs et aux groupes.

Cet exemple illustre comment vous pouvez utiliser la hiérarchisation pour accorder un accès précis et des privilèges à chaque utilisateur du service informatique.

L’exemple suppose que l’installation et la configuration initiales ont déjà été effectuées sur Citrix ADC.

Étapes de configuration

  1. Utilisez la procédure décrite dans “Configuration des comptes d’utilisateurs” pour créer des comptes utilisateur johnd, mariaret michaelb.
  2. Utilisez la procédure décrite dans “Configuration de groupes d’utilisateurs” pour créer des groupes d’utilisateurs Gestionnaireset SySOP, puis lier les utilisateurs mariaret michaelb au groupe SysOps et l’utilisateur johnd au groupe Managers.
  3. Utilisez la procédure décrite dans “[Création de stratégies de commande personnalisées]pour créer les stratégies de commande suivantes :

    • read_all avec l’action Autoriser et spécification"(^show\s+(?!system)(?!ns ns.conf)(?!ns runningConfig).*)|(^stat.*)" de commande
    • modify_lb avec l’action Autoriser et la spécification"^set\s+lb\s+.*$" de commande
    • modify_all avec l’action Autoriser et la spécification"^\S+\s+(?!system).*"de commande
  4. Utilisez la procédure décrite dans “Liaison de stratégies de commande aux utilisateurs et aux groupes” pour lier la stratégie de commande read_allau groupe SysOps, avec la valeur de priorité 1.
  5. Utilisez la procédure décrite dans “Liaison de stratégies de commande aux utilisateurs et aux groupes” pour lier la stratégie de commande modify_lbà l’utilisateur michaelb, avec la valeur de priorité 5.

La configuration que vous venez de créer donne les résultats suivants :

  • John Doe, le responsable informatique, dispose d’un accès en lecture seule à l’ensemble de la configuration de Citrix ADC, mais il ne peut pas apporter de modifications.
  • Maria Ramirez, responsable informatique, dispose d’un accès quasi complet à toutes les zones de la configuration de Citrix ADC, ayant à se connecter uniquement pour exécuter les commandes de niveau Citrix ADC.
  • Michael Baldrock, l’administrateur informatique responsable de l’équilibrage de charge, dispose d’un accès en lecture seule à la configuration de Citrix ADC et peut modifier les options de configuration pour l’équilibrage de charge.

L’ensemble de stratégies de commande qui s’applique à un utilisateur spécifique est une combinaison de stratégies de commande appliquées directement au compte de l’utilisateur et de stratégies de commande appliquées au ou aux groupes dont l’utilisateur est membre.

Chaque fois qu’un utilisateur entre une commande, le système d’exploitation recherche les stratégies de commande pour cet utilisateur jusqu’à ce qu’il trouve une stratégie avec une action Autoriser ou DENFER correspondant à la commande. Lorsqu’il trouve une correspondance, le système d’exploitation arrête sa recherche de stratégie de commande et autorise ou refuse l’accès à la commande.

Si le système d’exploitation ne trouve aucune stratégie de commande correspondante, il refuse à l’utilisateur l’accès à la commande, conformément à la stratégie de refus par défaut de l’appliance Citrix ADC.

Remarque

Lorsque vous placez un utilisateur dans plusieurs groupes, prenez soin de ne pas provoquer de restrictions ou de privilèges de commande utilisateur involontaires. Pour éviter ces conflits, lorsque vous organisez vos utilisateurs en groupes, gardez à l’esprit la procédure de recherche de stratégie de commande Citrix ADC et les règles de classement de stratégie.

Exemple de scénario utilisateur