Citrix ADC

Stratégies d’utilisateur, de groupes d’utilisateurs et de commandes

Vous devez d’abord définir un utilisateur avec un compte, puis organiser tous les utilisateurs en groupes. Vous pouvez créer des stratégies de commande ou utiliser des stratégies de commande intégrées pour réglementer l’accès des utilisateurs aux commandes.

Remarque :

Si vous préférez en savoir plus sur la configuration d’utilisateurs et de groupes d’utilisateurs dans le cadre de la configuration d’authentification et d’autorisation Citrix ADC pour la gestion du trafic, consultez la rubrique Configurer les utilisateurs et les groupes .

Vous pouvez également personnaliser l’invite de ligne de commande pour un utilisateur. Les invites peuvent être définies dans la configuration d’un utilisateur, dans une configuration de groupe d’utilisateurs et dans les paramètres de configuration globale du système. L’invite affichée pour un utilisateur est dans l’ordre de priorité suivant :

  1. Affichez l’invite telle que définie dans la configuration de l’utilisateur.
  2. Affichez l’invite telle que définie dans la configuration du groupe pour le groupe de l’utilisateur.
  3. Affichez l’invite comme défini dans les paramètres de configuration globale du système.

Vous pouvez désormais spécifier une valeur de délai d’expiration pour les sessions de CLI inactives pour un utilisateur système. Si la session CLI d’un utilisateur est inactive pendant une durée supérieure à la valeur de délai d’expiration, l’appliance Citrix ADC met fin à la connexion. Le délai d’expiration peut être défini dans une configuration utilisateur, dans une configuration de groupe d’utilisateurs ou dans les paramètres de configuration globale du système. Le délai d’expiration pour les sessions CLI inactives pour un utilisateur est déterminé dans l’ordre de priorité suivant :

  1. Configuration utilisateur.
  2. Configuration de groupe pour le groupe de l’utilisateur.
  3. Paramètres de configuration globale du système.

Un administrateur racine Citrix ADC peut configurer la limite maximale de session simultanée pour les utilisateurs système. En limitant la limite, vous pouvez réduire le nombre de connexions ouvertes et améliorer les performances du serveur. Tant que le nombre de CLI est dans la limite configurée, les utilisateurs simultanés peuvent ouvrir une session sur l’interface graphique n’importe quel nombre de fois. Toutefois, si le nombre de sessions CLI atteint la limite configurée, les utilisateurs ne peuvent plus se connecter à l’interface graphique. Par exemple, si le nombre de sessions simultanées est configuré sur 20, les utilisateurs simultanés peuvent ouvrir une session à 19 sessions CLI. Mais si l’utilisateur est connecté à la session 20<sup>th</sup> CLI, toute tentative de connexion à l’interface graphique, CLI ou NITRO entraîne un message d’erreur ((ERREUR : limite de connexion à CFE dépassée).

Remarque :

Par défaut, le nombre de sessions simultanées est configuré sur 20 et le nombre maximal de sessions simultanées est configuré sur 40.

Configurer les comptes utilisateur

Pour configurer les comptes d’utilisateurs, il vous suffit de spécifier des noms d’utilisateur et des mots de passe. Vous pouvez modifier les mots de passe et supprimer les comptes utilisateur à tout moment.

Remarque :

Tous les caractères d’un mot de passe ne sont pas acceptés. Cependant, cela fonctionne si vous tapez les caractères entre guillemets.

En outre, la chaîne ne doit pas dépasser une longueur maximale de 127 caractères.

Pour créer un compte utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer un compte d’utilisateur et vérifier la configuration :

  • add system user <username> [-externalAuth ( ENABLED | DISABLED )] [-promptString <string>] [-timeout \<secs>] [-logging ( ENABLED | DISABLED )] [-maxsession <positive_integer>]
  • show system user <userName>

Les utilisateurs externes peuvent configurer le paramètre « journalisation » pour collecter les journaux externes à l’aide de la journalisation Web ou du mécanisme de journalisation d’audit. Si le paramètre est activé, le client d’audit s’authentifie auprès de l’appliance Citrix ADC pour collecter les journaux.

Exemple :

> add system user johnd -promptString user-%u-at-%T

Enter password:
Confirm password:
> show system user johnd
user name: john
     Timeout:900 Timeout Inherited From: Global
     External Authentication: ENABLED
     Logging: DISABLED
     Maximum Client Sessions: 20
<!--NeedCopy-->

Pour la description des paramètres, reportez-vous à la rubrique Référence de la commande utilisateur Authentification et autorisation .

Configurer un compte d’utilisateur à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Système > Administration des utilisateurs > Utilisateurset créez l’utilisateur.
  2. Dans le volet d’informations, cliquez sur Ajouter pour créer un utilisateur système.
  3. Dans la page Créer un groupe système, définissez les paramètres suivants :

    1. Nom d’utilisateur. Nom du groupe d’utilisateurs.
    2. Invite CLI. Invite que vous préférez définir pour l’accès à l’interface CLI.
    3. Délai d’expiration de la session inactivité (secondes). Définissez la durée pendant laquelle un utilisateur peut être inactif avant l’épuisement et la fermeture de la session.
    4. Nombre maximal de sessions. Définissez le nombre maximal de sessions qu’un utilisateur peut essayer.
    5. Activer le privilège d’enregistrement. Activer le privilège de journalisation pour l’utilisateur.
    6. Activer l’authentification externe. Sélectionnez l’option si vous souhaitez utiliser le serveur d’authentification externe pour authentifier l’utilisateur.
    7. Interface de gestion autorisée. Sélectionnez les interfaces Citrix ADC auxquelles le groupe d’utilisateurs est autorisé à accéder.
    8. Stratégies de commande. Lier les stratégies de commande au groupe d’utilisateurs.
    9. Partitions. Liez les partitions au groupe d’utilisateurs.
  4. Cliquez sur Créer et Fermer.

Créer un compte d'utilisateur pour l'authentification des utilisateurs système

Configurer des groupes d’utilisateurs

Après avoir configuré un groupe d’utilisateurs, vous pouvez facilement accorder les mêmes droits d’accès à tous les membres du groupe. Pour configurer un groupe, créez le groupe et liez les utilisateurs au groupe. Vous pouvez lier chaque compte d’utilisateur à plusieurs groupes. La liaison de comptes d’utilisateur à plusieurs groupes peut permettre une plus grande flexibilité lors de l’application de stratégies de commande.

Pour créer un groupe d’utilisateurs à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer un groupe d’utilisateurs et vérifier la configuration :

  • add system group <groupName> [-promptString <string>] [-timeout <secs>]
  • show system group <groupName>

Exemple :

> add system group Managers -promptString Group-Managers-at-%h

Lier un compte d’utilisateur à un groupe à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier un compte d’utilisateur à un groupe et vérifier la configuration :

  • bind system group <groupName> -userName <userName>
  • show system group <groupName>

Exemple :

> bind system group Managers -userName user1

Configurer un groupe d’utilisateurs à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Système > Administration des utilisateurs > Groupeset créez le groupe d’utilisateurs.
  2. Dans le volet d’informations, cliquez sur Ajouter pour créer un groupe d’utilisateurs système.
  3. Dans la page Créer un groupe système, définissez les paramètres suivants :

    1. Nom du groupe. Nom du groupe d’utilisateurs.
    2. Invite CLI. Invite que vous préférez définir pour l’accès à l’interface CLI.
    3. Délai d’expiration de la session inactivité (secondes). Définissez la durée pendant laquelle un utilisateur peut être inactif avant l’épuisement et la fermeture de la session.
    4. Interface de gestion autorisée. Sélectionnez les interfaces Citrix ADC auxquelles le groupe d’utilisateurs est autorisé à accéder.
    5. Membres. Ajoutez des comptes d’utilisateurs au groupe.
    6. Stratégies de commande. Lier les stratégies de commande au groupe d’utilisateurs.
    7. Partitions. Liez les partitions au groupe d’utilisateurs.
  4. Cliquez sur Créer et Fermer.

Créer un groupe d'utilisateurs système sur l'interface graphique Citrix ADC pour l'authentification des utilisateurs

Remarque :

Pour ajouter des membres au groupe, dans la section Membres, cliquez sur Ajouter. Sélectionnez des utilisateurs dans la liste Disponibles et ajoutez-les à la liste Configuré.

Configurer les stratégies de commande

Les stratégies de commande régissent les commandes, groupes de commandes, serveurs virtuels et autres entités que les utilisateurs et les groupes d’utilisateurs sont autorisés à utiliser.

L’appliance fournit un ensemble de stratégies de commande intégrées et vous pouvez configurer des stratégies personnalisées. Pour appliquer les stratégies, vous les liez à des utilisateurs ou à des groupes.

Voici les points clés à garder à l’esprit lors de la définition et de l’application de stratégies de commande.

  • Vous ne pouvez pas créer de stratégies de commande globales. Les stratégies de commande doivent être liées directement aux utilisateurs et aux groupes de l’appliance.
  • Les utilisateurs ou les groupes sans stratégie de commande associée sont soumis à la stratégie de commande par défaut (DENY-ALL) et ne peuvent donc pas exécuter de commandes de configuration tant que les stratégies de commande appropriées ne sont pas liées à leurs comptes.
  • Tous les utilisateurs héritent des stratégies des groupes auxquels ils appartiennent.
  • Vous devez attribuer une priorité à une stratégie de commande lorsque vous la liez à un compte d’utilisateur ou à un compte de groupe. Cela permet à l’appliance de déterminer quelle stratégie a la priorité lorsque deux stratégies conflictuelles ou plus s’appliquent au même utilisateur ou au même groupe.
  • Les commandes suivantes sont disponibles par défaut pour n’importe quel utilisateur et ne sont pas affectées par les commandes que vous spécifiez :
  • aide, afficher l’attribut CLI, définir l’invite CLI, effacer l’invite CLI, afficher l’invite CLI, alias, unalias, historique, quitter, exit, whoami, config, définir le mode CLI, annuler le mode CLI et afficher le mode CLI.

Le tableau suivant décrit les stratégies intégrées.

Nom de la stratégie Autorise
lecture seule Accès en lecture seule à toutes les commandes show sauf show ns RunningConfig, show ns ns.conf et show pour le groupe de commandes Citrix ADC.
opérateur Accès en lecture seule et accès aux commandes pour activer et désactiver les services et les serveurs.
network Accès complet, sauf aux commandes SSL set et unset, show ns ns.conf, show ns RunningConfig et show gslb RunningConfig.
sysadmin [Inclus dans Citrix ADC 12.0 et versions ultérieures] Un administrateur système est inférieur à celui d’un superutilisateur est des conditions d’accès autorisées sur l’appliance. Un utilisateur sysadmin peut effectuer toutes les opérations de Citrix ADC avec les exceptions suivantes : aucun accès à l’interpréteur de commandes Citrix ADC, ne peut pas effectuer de configurations utilisateur, ne peut pas effectuer de configurations de partition et d’autres configurations comme indiqué dans la stratégie de commande sysadmin.
superutilisateur Accès complet. Mêmes privilèges que l’utilisateur nsroot.

Créer des stratégies de commande personnalisées

La prise en charge des expressions régulières est proposée aux utilisateurs disposant des ressources nécessaires pour gérer des expressions plus personnalisées, ainsi qu’aux déploiements nécessitant la flexibilité offerte par les expressions régulières. Pour la plupart des utilisateurs, les stratégies de commande intégrées sont suffisantes. Les utilisateurs qui ont besoin de plus de niveaux de contrôle mais qui ne connaissent pas les expressions régulières peuvent vouloir utiliser uniquement des expressions simples, telles que celles figurant dans les exemples fournis dans cette section, pour maintenir la lisibilité des stratégies.

Lorsque vous utilisez une expression régulière pour créer une stratégie de commande, gardez à l’esprit les éléments suivants.

  • Lorsque vous utilisez des expressions régulières pour définir des commandes affectées par une stratégie de commande, vous devez placer les commandes entre guillemets doubles. Par exemple, pour créer une stratégie de commande qui inclut toutes les commandes commençant par show, tapez ce qui suit :
  • “^show .*$”
  • Pour créer une stratégie de commande qui inclut toutes les commandes commençant par rm, tapez ce qui suit :
  • “^rm .*$”
  • Les expressions régulières utilisées dans les stratégies de commande ne sont pas sensibles à la casse.

Le tableau suivant répertorie des exemples d’expressions régulières pour les stratégies de commande :

Spécification de commande Correspond à ces commandes
“^rm\s+.*$” Toutes les actions de suppression, car toutes les actions de suppression commencent par la chaîne rm, suivie d’un espace et d’autres paramètres tels que des groupes de commandes, des types d’objets de commande et des arguments.
“^show\s+.*$” Toutes les commandes show, car toutes les actions show commencent par la chaîne show, suivie d’un espace et d’autres paramètres tels que les groupes de commandes, les types d’objets de commande et les arguments.
« ^shell$ » La commande shell seule, mais non combinée avec des paramètres supplémentaires tels que les groupes de commandes, les types d’objets de commande et les arguments.
“^add\s+vserver\s+.*$” Toutes créent des actions de serveur virtuel, qui consistent à ajouter une commande serveur virtuel suivie d’un espace et d’autres paramètres tels que des groupes de commandes, des types d’objets de commande et des arguments.
“^add\s+(lb\s+vserver)\s+.*” Toutes créent des actions de serveur virtuel lb, qui consistent en la commande add lb virtual server suivie d’un espace et d’autres paramètres tels que des groupes de commandes, des types d’objets de commande et des arguments.

Pour plus d’informations sur les stratégies de commande intégrées, reportez-vous au tableau Tableau des stratégies de commandes intégrées .

Pour créer une stratégie de commande à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer une stratégie de commande et vérifier la configuration :

  • add system cmdPolicy <policyname> <action> <cmdspec>
  • show system cmdPolicy <policyName>

Exemple :

add system cmdPolicy USER-POLICY ALLOW (\ server\ )|(\ service(Group)*\ )|(\ vserver\ )|(\ policy\ )|(\ policylabel\ )|(\ limitIdentifier\ )|(^show\ (?!(system|ns\ (ns.conf|runningConfig))))|(save)|(stat\ .*serv)

Configurer une stratégie de commande à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Système > Administration de l’utilisateur > Stratégies de commande.
  2. Dans le volet d’informations, cliquez sur Ajouter pour créer une stratégie de commande.
  3. Dans la page Configurer la stratégie de commande, définissez les paramètres suivants :

    1. Nom de la stratégie
    2. Action
    3. Spécification de commande.
  4. Cliquez sur OK.

Configurer des stratégies de commande pour l'authentification des utilisateurs système

Lier les stratégies de commande aux comptes d’utilisateurs et aux groupes d’utilisateurs

Une fois que vous avez défini vos stratégies de commande, vous devez les lier aux comptes d’utilisateurs et aux groupes appropriés. Lorsque vous liez une stratégie, vous devez lui attribuer une priorité afin que l’appliance puisse déterminer la stratégie de commande à suivre en cas de conflit entre deux ou plusieurs stratégies de commande applicables.

Les stratégies de commande sont évaluées dans l’ordre suivant :

  • Les stratégies de commande liées directement aux utilisateurs et aux groupes correspondants sont évaluées en fonction d’un numéro de priorité. Une stratégie de commande avec un numéro de priorité inférieur est évaluée avant une stratégie avec un numéro de priorité plus élevé. Par conséquent, les privilèges accordés ou refusés explicitement par la stratégie de commande de numéro inférieur ne sont pas remplacés par une stratégie de commande de numéro supérieur.
  • Lorsque deux stratégies de commande, l’une liée à un compte d’utilisateur et l’autre à un groupe, ont le même numéro de priorité, la stratégie de commande liée directement au compte d’utilisateur est évaluée en premier.

Pour lier des stratégies de commande à un utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier une stratégie de commande à un utilisateur et vérifier la configuration :

  • bind system user <userName> -policyName <policyName> <priority>
  • show system user <userName>

Exemple :

> bind system user user1 -policyName read_all 1

Lier les stratégies de commande à un compte d’utilisateur à l’aide de l’interface graphique Citrix ADC

Accédez à Système > Administration des utilisateurs> Utilisateurs, sélectionnez l’utilisateur et liez les stratégies de commande.

Lier les stratégies de commande à un compte d'utilisateur système

Vous pouvez éventuellement modifier la priorité par défaut pour vous assurer que la stratégie est évaluée dans l’ordre approprié.

Pour lier des stratégies de commande à un groupe à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier une stratégie de commande à un groupe d’utilisateurs et vérifier la configuration :

  • bind system group <groupName> -policyName <policyName> <priority>
  • show system group <groupName>

Exemple :

> bind system group Managers -policyName read_all 1

Lier les stratégies de commande à un groupe d’utilisateurs à l’aide de l’interface graphique Citrix ADC

Accédez à Système > Administration des utilisateurs > Groupes, sélectionnez les stratégies de commande de groupe et de liaison.

Lier les stratégies de commande à un compte de groupe d'utilisateurs système sur l'interface graphique Citrix ADC

Vous pouvez éventuellement modifier la priorité par défaut pour vous assurer que la stratégie est évaluée dans l’ordre approprié.

Exemple d’utilisation : Gérer les comptes d’utilisateurs, les groupes d’utilisateurs et les stratégies de commande dans une organisation de fabrication

L’exemple suivant montre comment créer un ensemble complet de comptes d’utilisateurs, de groupes et de stratégies de commande et lier chaque stratégie aux groupes et utilisateurs appropriés. La société, Example Manufacturing, Inc., dispose de trois utilisateurs qui peuvent accéder à l’appliance Citrix ADC :

  • John Doe. Le responsable informatique. John doit pouvoir voir toutes les parties de la configuration Citrix ADC mais n’a pas besoin de modifier quoi que ce soit.

  • Maria Ramiez. Administrateur informatique responsable. Maria doit être en mesure de voir et de modifier toutes les parties de la configuration Citrix ADC à l’exception des commandes Citrix ADC (que la stratégie locale dicte doit être exécutée lors de la connexion en tant que nsroot).

  • Michael Baldrock. Administrateur informatique en charge de l’équilibrage de charge. Michael doit pouvoir voir toutes les parties de la configuration Citrix ADC, mais ne doit modifier que les fonctions d’équilibrage de charge.

Le tableau suivant présente la répartition des informations réseau, des noms de compte d’utilisateur, des noms de groupe et des stratégies de commande pour l’exemple de société.

Champ Valeur Remarque
Nom d’hôte Citrix ADC ns01.exemple.net S.O.
Comptes utilisateur johnd, mariar et michaelb John Doe, responsable informatique, Maria Ramirez, administrateur informatique et Michael Baldrock, administrateur informatique.
Groupes Responsables et SysOps Tous les responsables et tous les administrateurs informatiques.
Stratégies de commande read_all, modify_lb et modify_all Autoriser l’accès complet en lecture seule, Autoriser l’accès de modification à l’équilibrage de charge et Autoriser l’accès complet à la modification.

La description suivante vous guide tout au long du processus de création d’un ensemble complet de comptes d’utilisateurs, de groupes et de stratégies de commande sur l’appliance Citrix ADC nommé ns01.example.net.

La description inclut des procédures pour lier les comptes d’utilisateurs et les groupes appropriés entre eux, et lier les stratégies de commande appropriées aux comptes d’utilisateurs et aux groupes.

Cet exemple illustre comment vous pouvez utiliser la hiérarchisation pour accorder un accès précis et des privilèges à chaque utilisateur du service informatique.

L’exemple suppose que l’installation et la configuration initiales ont déjà été effectuées sur Citrix ADC.

Configurer des comptes d’utilisateurs, des groupes et des stratégies de commande pour un exemple d’organisation

  1. Utilisez la procédure décrite dans la section Configuration des comptes d’utilisateurs pour créer des comptes utilisateur johnd, mariaret michaelb.
  2. Utilisez la procédure décrite dans Configuration des groupes d’utilisateurs pour créer des groupes d’utilisateurs Gestionnaires et SySOps, puis lier les utilisateurs mariar et michaelb au groupe SySOps et l’utilisateur johnd au groupe Managers.
  3. Utilisez la procédure décrite à la section Création de stratégies de commande personnalisées pour créer les stratégies de commande suivantes :

    • read_all avec l’action Autoriser et spécification"(^show\s+(?!system)(?!ns ns.conf)(?!ns runningConfig).*)|(^stat.*)" de commande
    • modify_lb avec l’action Autoriser et la spécification"^set\s+lb\s+.*$" de commande
    • modify_all avec l’action Autoriser et la spécification"^\S+\s+(?!system).*"de commande
  4. Utilisez la procédure décrite dans « Liaison des stratégies de commande aux utilisateurs et aux groupes » pour lier la stratégie de commande read_all au groupe SysOps, avec la valeur de priorité 1.
  5. Utilisez la procédure décrite dans « Liaison des stratégies de commande aux utilisateurs et aux groupes » pour lier la stratégie de commande modify_lb à l’utilisateur michaelb, avec la valeur de priorité 5.

La configuration que vous venez de créer donne les résultats suivants :

  • John Doe, le responsable informatique, dispose d’un accès en lecture seule à l’ensemble de la configuration de Citrix ADC, mais il ne peut pas apporter de modifications.
  • Maria Ramirez, responsable informatique, dispose d’un accès quasi complet à toutes les zones de la configuration de Citrix ADC, ayant à se connecter uniquement pour exécuter les commandes de niveau Citrix ADC.
  • Michael Baldrock, l’administrateur informatique responsable de l’équilibrage de charge, dispose d’un accès en lecture seule à la configuration de Citrix ADC et peut modifier les options de configuration pour l’équilibrage de charge.

L’ensemble de stratégies de commande qui s’applique à un utilisateur spécifique est une combinaison de stratégies de commande appliquées directement au compte de l’utilisateur et de stratégies de commande appliquées à un ou plusieurs groupes dont l’utilisateur est membre.

Chaque fois qu’un utilisateur entre une commande, le système d’exploitation recherche les stratégies de commande pour cet utilisateur jusqu’à ce qu’il trouve une stratégie avec une action ALLOW ou DENY correspondant à la commande. Lorsqu’il trouve une correspondance, le système d’exploitation arrête sa recherche de stratégie de commande et autorise ou refuse l’accès à la commande.

Si le système d’exploitation ne trouve aucune stratégie de commande correspondante, il refuse à l’utilisateur l’accès à la commande, conformément à la stratégie de refus par défaut de l’appliance Citrix ADC.

Remarque :

Lorsque vous placez un utilisateur dans plusieurs groupes, prenez soin de ne pas provoquer de restrictions ou de privilèges de commande utilisateur involontaires. Pour éviter ces conflits, lorsque vous organisez vos utilisateurs en groupes, gardez à l’esprit la procédure de recherche de stratégie de commande Citrix ADC et les règles de classement de stratégie.

Stratégies d’utilisateur, de groupes d’utilisateurs et de commandes