Citrix ADC

Stratégies d’autorisation

Lorsque vous configurez une stratégie d’autorisation, vous pouvez la définir pour autoriser ou refuser l’accès aux ressources réseau dans le réseau interne. Par exemple, pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l’expression suivante :

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

Les stratégies d’autorisation sont appliquées aux utilisateurs et aux groupes. Une fois qu’un utilisateur est authentifié, Citrix Gateway effectue une vérification d’autorisation de groupe en obtenant les informations de groupe de l’utilisateur à partir d’un serveur RADIUS, LDAP ou TACACS +. Si des informations de groupe sont disponibles pour l’utilisateur, Citrix Gateway vérifie les ressources réseau autorisées pour le groupe.

Pour contrôler les ressources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d’autorisation. Si vous n’avez pas besoin de créer des stratégies d’autorisation, vous pouvez configurer l’autorisation globale par défaut.

Si vous créez une expression dans la stratégie d’autorisation qui refuse l’accès à un chemin d’accès au fichier, vous ne pouvez utiliser que le chemin du sous-répertoire et non le répertoire racine. Par exemple, use fs.path contains “\\dir1\\dir2” au lieu de fs.path contains “\\rootdir\\dir1\\dir2”. Si vous utilisez la deuxième version dans cet exemple, la stratégie échoue.

Après avoir configuré la stratégie d’autorisation, vous la liez ensuite à un utilisateur ou à un groupe.

Par défaut, les stratégies d’autorisation sont validées d’abord par rapport aux stratégies que vous liez au serveur virtuel, puis aux stratégies liées globalement. Si vous liez une stratégie globalement et que vous souhaitez que la stratégie globale ait priorité sur une stratégie que vous liez à un utilisateur, un groupe ou un serveur virtuel, vous pouvez modifier le numéro de priorité de la stratégie. Les numéros de priorité commencent à zéro. Un numéro de priorité inférieur donne une priorité plus élevée à la politique.

Par exemple, si la stratégie globale a un numéro de priorité de un et que l’utilisateur a une priorité de deux, la stratégie d’authentification globale est appliquée en premier.

Important :

  • Les stratégies d’autorisation classiques sont appliquées uniquement sur le trafic TCP.
  • La stratégie d’autorisation avancée peut être appliquée à tous les types de trafic (TCP/UDP/ICMP/DNS).

    • Pour appliquer une stratégie sur le trafic UDP/ICMP/DNS, les stratégies doivent être liées aux types UDP_REQUEST, ICMP_REQUEST et DNS_REQUEST respectivement.

    • Lors de la liaison, si « type » n’est pas explicitement mentionné ou « type » est défini sur REQUEST, le comportement ne change pas par rapport aux versions précédentes, c’est-à-dire que ces stratégies sont appliquées uniquement au trafic TCP.
    • Les stratégies liées à UDP_REQUEST ne s’appliquent pas au trafic DNS. Pour DNS, les stratégies doivent être explicitement liées à DNS_REQUEST TCP_DNS est similaire aux autres requêtes TCP.

Pour plus d’informations sur les stratégies d’autorisation avancées, consultez l’article https://support.citrix.com/article/CTX232237.

Configurer et lier une stratégie d’autorisation

Configurer une stratégie d’autorisation à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Stratégies > Autorisation.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez un nom pour la stratégie.
  4. Dans Action, sélectionnez Autoriser ou Refuser.
  5. Dans Expression, cliquez sur Éditeur d’expression.
  6. Pour commencer à configurer l’expression, cliquez sur Sélectionner et choisissez les éléments nécessaires.
  7. Cliquez sur Terminé lorsque votre expression est terminée.
  8. Cliquez sur Créer.

Lier une stratégie d’autorisation à un utilisateur à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Administration des utilisateurs.
  2. Cliquez sur Utilisateurs AAA.
  3. Dans le volet d’informations, sélectionnez un utilisateur, puis cliquez sur Modifier.
  4. Dans Paramètres avancés, cliquez sur Stratégies d’autorisation.
  5. Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
  6. Dans Priorité, définissez le numéro de priorité.
  7. Dans Type, sélectionnez le type de demande, puis cliquez sur OK.

Lier une stratégie d’autorisation à un groupe à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Administration des utilisateurs.
  2. Cliquez sur Groupes AAA.
  3. Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Modifier.
  4. Dans Paramètres avancés, cliquez sur Stratégies d’autorisation.
  5. Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
  6. Dans Priorité, définissez le numéro de priorité.
  7. Dans Type, sélectionnez le type de demande, puis cliquez sur OK.

Autorisation spécifie les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils se connectent à Citrix Gateway. Le paramètre par défaut pour l’autorisation est de refuser l’accès à toutes les ressources réseau. Citrix recommande d’utiliser le paramètre global par défaut, puis de créer des stratégies d’autorisation pour définir les ressources réseau auxquelles les utilisateurs peuvent accéder.

Vous configurez l’autorisation sur Citrix Gateway à l’aide d’une stratégie et d’expressions d’autorisation. Après avoir créé une stratégie d’autorisation, vous pouvez la lier aux utilisateurs ou aux groupes que vous avez configurés sur l’appliance.

Autorisation globale par défaut

Pour définir les ressources auxquelles les utilisateurs ont accès sur le réseau interne, vous pouvez configurer l’autorisation globale par défaut. Vous configurez l’autorisation globale en autorisant ou en refusant l’accès aux ressources réseau globalement sur le réseau interne.

Toute action d’autorisation globale que vous créez est appliquée à tous les utilisateurs qui n’ont pas encore de stratégie d’autorisation associée à eux, directement ou via un groupe. Une stratégie d’autorisation d’utilisateur ou de groupe remplace toujours l’action d’autorisation globale. Si l’action d’autorisation par défaut est définie sur Refuser, vous devez appliquer des stratégies d’autorisation à tous les utilisateurs ou groupes afin de rendre les ressources réseau accessibles à ces utilisateurs ou groupes. Cette exigence contribue à améliorer la sécurité.

Pour définir l’autorisation globale par défaut :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Sous l’onglet Sécurité, en regard de Action d’autorisation par défaut, sélectionnez Autoriser ou Refuser, puis cliquez sur OK.
Stratégies d’autorisation