Citrix Gateway

Configuration de stratégies d’autorisation

Lorsque vous configurez une stratégie d’autorisation, vous pouvez la définir pour autoriser ou refuser l’accès aux ressources réseau dans le réseau interne. Par exemple, pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l’expression suivante :

REQ.IP.DESTIP==10.3.0.0 -netmask 255.255.0.0

Les stratégies d’autorisation sont appliquées aux utilisateurs et aux groupes. Une fois qu’un utilisateur est authentifié, Citrix Gateway effectue une vérification d’autorisation de groupe en obtenant les informations de groupe de l’utilisateur à partir d’un serveur RADIUS, LDAP ou TACACS +. Si des informations de groupe sont disponibles pour l’utilisateur, Citrix Gateway vérifie les ressources réseau autorisées pour le groupe.

Pour contrôler les ressources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d’autorisation. Si vous n’avez pas besoin de créer des stratégies d’autorisation, vous pouvez configurer l’autorisation globale par défaut.

Si vous créez une expression dans la stratégie d’autorisation qui refuse l’accès à un chemin d’accès au fichier, vous ne pouvez utiliser que le chemin du sous-répertoire et non le répertoire racine. Par exemple, use fs.path contains “\\dir1\\dir2” au lieu de fs.path contains “\\rootdir\\dir1\\dir2”. Si vous utilisez la deuxième version dans cet exemple, la stratégie échoue.

Après avoir configuré la stratégie d’autorisation, vous la liez à un utilisateur ou un groupe comme indiqué dans les tâches ci-dessous.

Par défaut, les stratégies d’autorisation sont validées d’abord par rapport aux stratégies que vous liez au serveur virtuel, puis par rapport aux stratégies liées globalement. Si vous liez une stratégie globalement et que vous souhaitez que la stratégie globale ait priorité sur une stratégie que vous liez à un utilisateur, un groupe ou un serveur virtuel, vous pouvez modifier le numéro de priorité de la stratégie. Les numéros de priorité commencent à zéro. Un numéro de priorité inférieur donne à la stratégie une priorité plus élevée.

Par exemple, si la stratégie globale a un numéro de priorité de un et que l’utilisateur a une priorité de deux, la stratégie d’authentification globale est appliquée en premier.

Important :

  • Les stratégies d’autorisation classiques sont appliquées uniquement sur le trafic TCP.
  • La politique d’autorisation avancée peut être appliquée à tous les types de trafic (TCP/UDP/ICMP/DNS).

    • Pour appliquer une stratégie sur le trafic UDP/ICMP/DNS, les stratégies doivent être liées aux types UDP_REQUEST, ICMP_REQUEST et DNS_REQUEST respectivement.

    • Lors de la liaison, si « type » n’est pas explicitement mentionné ou « type » est défini sur REQUEST, le comportement ne change pas par rapport aux versions précédentes, c’est-à-dire que ces stratégies sont appliquées uniquement au trafic TCP.

Pour plus d’informations sur les stratégies d’autorisation avancées, consultez l’article https://support.citrix.com/article/CTX232237.

Pour configurer une stratégie d’autorisation à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Stratégies > Autorisation.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez un nom pour la stratégie.
  4. Dans Action, sélectionnez Autoriserou Refuser.
  5. Dans Expression, cliquez sur Éditeur d’expressions.
  6. Pour commencer à configurer l’expression, cliquez sur Sélectionner et choisissez les éléments nécessaires.
  7. Cliquez sur Terminé lorsque votre expression est terminée.
  8. Cliquez sur Créer.

Pour lier une stratégie d’autorisation à un utilisateur à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Administration des utilisateurs.
  2. Cliquez sur Utilisateurs AAA.
  3. Dans le volet d’informations, sélectionnez un utilisateur, puis cliquez sur Modifier.
  4. Dans Paramètres avancés, cliquez sur Stratégies d’autorisation.
  5. Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
  6. Dans Priorité, définissez le numéro de priorité.
  7. Dans Type, sélectionnez le type de demande, puis cliquez sur OK.

Pour lier une stratégie d’autorisation à un groupe à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Administration des utilisateurs.
  2. Cliquez sur Groupes AAA.
  3. Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Modifier.
  4. Dans Paramètres avancés, cliquez sur Stratégies d’autorisation.
  5. Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
  6. Dans Priorité, définissez le numéro de priorité.
  7. Dans Type, sélectionnez le type de demande, puis cliquez sur OK.