Configuration des stratégies d’autorisation

Lorsque vous configurez une stratégie d’autorisation, vous pouvez la définir pour autoriser ou refuser l’accès aux ressources réseau dans le réseau interne. Par exemple, pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l’expression suivante :

REQ.IP.DESTIP==10.3.0.0 -netmask 255.255.0.0

Les stratégies d’autorisation sont appliquées aux utilisateurs et aux groupes. Une fois qu’un utilisateur est authentifié, Citrix Gateway effectue une vérification d’autorisation de groupe en obtenant les informations de groupe de l’utilisateur à partir d’un serveur RADIUS, LDAP ou TACACS +. Si des informations de groupe sont disponibles pour l’utilisateur, Citrix Gateway vérifie les ressources réseau autorisées pour le groupe.

Pour contrôler les ressources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d’autorisation. Si vous n’avez pas besoin de créer des stratégies d’autorisation, vous pouvez configurer l’autorisation globale par défaut.

Si vous créez une expression dans la stratégie d’autorisation qui refuse l’accès à un chemin d’accès au fichier, vous ne pouvez utiliser que le chemin du sous-répertoire et non le répertoire racine. Par exemple, use fs.path contains “\\dir1\\dir2” au lieu de fs.path contains “\\rootdir\\dir1\\dir2”. Si vous utilisez la deuxième version dans cet exemple, la stratégie échoue.

Après avoir configuré la stratégie d’autorisation, vous la liez à un utilisateur ou un groupe comme indiqué dans les tâches ci-dessous.

Par défaut, les stratégies d’autorisation sont validées d’abord par rapport aux stratégies que vous liez au serveur virtuel, puis par rapport aux stratégies liées globalement. Si vous liez une stratégie globalement et que vous souhaitez que la stratégie globale ait priorité sur une stratégie que vous liez à un utilisateur, un groupe ou un serveur virtuel, vous pouvez modifier le numéro de priorité de la stratégie. Les numéros de priorité commencent à zéro. Un numéro de priorité inférieur donne à la politique une priorité plus élevée.

Par exemple, si la stratégie globale a un numéro de priorité de un et que l’utilisateur a une priorité de deux, la stratégie d’authentification globale est appliquée en premier.

Pour configurer une stratégie d’autorisation :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez Citrix Gateway > Stratégies > Autorisation.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez un nom pour la stratégie.
  4. Dans Action, sélectionnez Autoriser ou Refuser.
  5. Dans Expression, cliquez sur Éditeur d’expressions.
  6. Pour commencer à configurer l’expression, cliquez sur Sélectionner et choisissez les éléments nécessaires. Cliquez sur Done lorsque votre expression est terminée.
  7. Cliquez sur Créer.

Pour lier une stratégie d’autorisation à un utilisateur à l’aide de l’utilitaire de configuration :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Utilisateurs AAA.
  2. Dans le volet d’informations, sélectionnez un utilisateur, puis cliquez sur Ouvrir.
  3. Sous l’onglet Autorisation, cliquez sur Insérer une stratégie.
  4. Sous Nom de la stratégie, double-cliquez sur la stratégie.
  5. Sous Priorité, définissez le numéro de priorité, puis cliquez sur OK.

Pour lier une stratégie d’autorisation à un groupe à l’aide de l’utilitaire de configuration :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA.
  2. Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Ouvrir.
  3. Sous l’onglet Autorisation, cliquez sur Insérer une stratégie.
  4. Sous Nom de la stratégie, double-cliquez sur la stratégie.
  5. Sous Priorité, définissez le numéro de priorité, puis cliquez sur OK.

Configuration des stratégies d’autorisation