Citrix Gateway

Stratégies et profils de pré-authentification

Avertissement :

Les stratégies de pré-authentification d’authentification, d’autorisation et d’audit sont déconseillées à partir de NetScaler 12.0 build 56.20 et, comme alternative, Citrix vous recommande d’utiliser l’authentification nFactor. Pour plus d’informations, consultez la rubrique Authentification nFactor .

Vous pouvez configurer Citrix Gateway pour vérifier la sécurité côté client avant que les utilisateurs ne soient authentifiés. Cette méthode garantit que la machine utilisateur établissant une session avec Citrix Gateway est conforme à vos exigences de sécurité. Vous configurez les vérifications de sécurité côté client à l’aide de stratégies de pré-authentification spécifiques à un serveur virtuel ou globalement, comme décrit dans les deux procédures suivantes.

Les stratégies de pré-authentification se composent d’un profil et d’une expression. Vous configurez le profil pour qu’il utilise une action pour autoriser ou refuser l’exécution d’un processus sur la machine utilisateur. Par exemple, le fichier texte clienttext.txt est en cours d’exécution sur la machine utilisateur. Lorsque l’utilisateur ouvre une session sur Citrix Gateway, vous pouvez autoriser ou refuser l’accès si le fichier texte est en cours d’exécution. Si vous ne souhaitez pas autoriser les utilisateurs à ouvrir une session si le processus est en cours d’exécution, configurez le profil de sorte que le processus soit arrêté avant que les utilisateurs ne se connectent.

Vous pouvez configurer les paramètres suivants pour les stratégies de pré-authentification :

  • Expression. Inclut les paramètres suivants pour vous aider à créer des expressions :
    • Expression. Affiche toutes les expressions.
    • Correspond à n’importe quelle expression. Configure la stratégie pour qu’elle corresponde à toutes les expressions présentes dans la liste des expressions sélectionnées.
    • Correspondance avec toutes les expressions. Configure la stratégie pour qu’elle corresponde à toutes les expressions présentes dans la liste des expressions sélectionnées.
    • Expressions tabulaires. Crée une expression composée avec les expressions existantes à l’aide des OR (||) or AND (&&) opérateurs.
    • Forme libre avancée. Crée des expressions composées personnalisées à l’aide des noms d’expression et des OR (||) and AND (&&) opérateurs. Choisissez uniquement les expressions dont vous avez besoin et omettez les autres expressions de la liste des expressions sélectionnées.
    • Add. Crée une expression.
    • Modifier. Modifie une expression existante.
    • Remove. Supprime l’expression sélectionnée de la liste des expressions composées.
    • Expressions nommées. Sélectionnez une expression nommée configurée. Vous pouvez sélectionner des expressions nommées dans le menu des expressions déjà présentes sur Citrix Gateway.
    • Ajoutez une expression. Ajoute l’expression nommée sélectionnée à la stratégie.
    • Remplacer l’expression. Remplace l’expression nommée sélectionnée par la stratégie.
    • Expression d’aperçu. Affiche la chaîne de sécurité client détaillée qui est configurée sur Citrix Gateway lorsque vous sélectionnez une expression nommée.

Configuration du profil de pré-authentification

Pour configurer globalement un profil de pré-authentification à l’aide de l’interface graphique

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de pré-authentification.
  3. Dans la boîte de dialogue Paramètres de pré-authentification globale, configurez les paramètres :
    1. Dans Action, sélectionnez Autoriser ou Refuser.

      Refend ou autorise les utilisateurs à ouvrir une session après l’analyse des points de terminaison.

    2. Dans Processus à annuler, saisissez le processus.

      Ceci spécifie les processus que le plug-in Endpoint Analysis doit arrêter.

    3. Dans la zone Fichiers à supprimer, saisissez le nom du fichier.

      Ceci spécifie les fichiers que le plug-in Endpoint Analysis doit supprimer.

  4. Dans Expression, vous pouvez laisser l’expression ns_true ou créer une expression pour une application spécifique, telle qu’un antivirus ou un logiciel de sécurité, puis cliquer sur OK.

Pour configurer un profil de pré-authentification à l’aide de l’interface graphique

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sous l’onglet Profils, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de l’application à vérifier.
  4. Dans Action, sélectionnez AUTORISER ou REFUSER.
  5. Dans Processus à annuler, tapez le nom du processus à arrêter.
  6. Dans Fichiers à supprimer, tapez le nom du fichier à supprimer, par exemple c:\clientext.txt, cliquez sur Créer, puis cliquez sur Fermer.

Remarque : Si un fichier doit être supprimé ou qu’un processus doit être arrêté, les utilisateurs reçoivent un message de confirmation. Les étapes 5 et 6 sont des paramètres facultatifs.

Si vous utilisez l’utilitaire de configuration pour configurer un profil de pré-authentification, vous créez ensuite la stratégie de pré-authentification en cliquant sur Ajouter dans l’onglet Stratégies . Dans la boîte de dialogue Créer une stratégie de pré-authentification, sélectionnez le profil dans le menu Demander un profil .

Configuration des expressions Endpoint Analysis

Les stratégies de pré-authentification et de session de sécurité client incluent un profil et une expression. La stratégie peut comporter un profil et plusieurs expressions. Pour analyser une machine utilisateur à la recherche d’une application, d’un fichier, d’un processus ou d’une entrée de Registre, vous devez créer une expression ou des expressions composées dans la stratégie.

Types d’expressions

L’expression se compose d’un type d’expression et des paramètres de l’expression. Les types d’expression sont les suivants :

  • Général
  • Sécurité des clients
  • En réseau

Ajouter une expression préconfigurée à une stratégie de pré-authentification

Citrix Gateway est fourni avec des expressions préconfigurées, appelées expressions nommées. Lorsque vous configurez une stratégie, vous pouvez utiliser une expression nommée pour la stratégie. Par exemple, vous souhaitez que la stratégie de pré-authentification vérifie la présence de Symantec antivirus 10 avec des définitions de virus mises à jour. Créez une stratégie de pré-authentification et ajoutez l’expression comme décrit dans la procédure suivante.

Lorsque vous créez une stratégie de pré-authentification ou de session, vous pouvez créer l’expression lorsque vous créez la stratégie. Vous pouvez ensuite appliquer la stratégie, avec l’expression, aux serveurs virtuels ou globalement.

La procédure suivante explique comment ajouter une expression antivirus préconfigurée à une stratégie à l’aide de l’utilitaire de configuration.

Ajouter une expression nommée à une stratégie de pré-authentification

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sélectionnez une stratégie, puis cliquez sur Ouvrir.
  3. En regard de Expressions nommées, sélectionnez Antivirus, puis sélectionnez le produit antivirus dans la liste.
  4. Cliquez sur Ajouter une expression, cliquez sur Créer, puis cliquez sur Fermer.

Configurer les expressions personnalisées

Une expression personnalisée est une expression que vous créez dans la stratégie. Lorsque vous créez une expression, vous configurez les paramètres de l’expression.

Vous pouvez également créer des expressions de sécurité client personnalisées pour faire référence aux chaînes de sécurité client couramment utilisées. Cela facilite le processus de configuration des stratégies de pré-authentification et de maintenance des expressions configurées.

Par exemple, vous souhaitez créer une expression de sécurité client personnalisée pour Symantec antivirus 10 et vous assurer que les définitions de virus n’ont pas plus de trois jours. Créez une stratégie, puis configurez l’expression pour spécifier les définitions de virus.

La procédure suivante explique comment créer une stratégie de sécurité client dans une stratégie de pré-authentification. Vous pouvez suivre les mêmes étapes dans une stratégie de session.

Créer une stratégie de pré-authentification et une expression de sécurité client personnalisée

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, cliquez sur Ajouter. La boîte de dialogue Créer une stratégie de pré-authentification s’ouvre.
  3. Dans Nom, tapez le nom de la stratégie.
  4. En regard de Demander un profil, cliquez sur Nouveau.
  5. Dans la boîte de dialogue Créer un profil d’authentification, dans Nom, tapez un nom pour le profil et dans Action, sélectionnez Autoriser, puis cliquez sur Créer.
  6. Dans la boîte de dialogue Créer une stratégie de pré-authentification, en regard de Match Any Expression, cliquez sur Ajouter.
  7. Dans Type d’expression, sélectionnez Client Security.
  8. Configurez ce qui suit :
    1. Dans Composant, sélectionnez Antivirus.
    2. Dans Nom, saisissez le nom de l’application.
    3. Dans Qualificatif, sélectionnez Version.
    4. Dans Opérateur, sélectionnez ==.
    5. Dans la zone Valeur, tapez la valeur.
    6. Dans Fraîcheur, tapez 3, puis cliquez sur OK.
  9. Dans la boîte de dialogue Créer une stratégie de pré-authentification, cliquez sur Créer, puis sur Fermer.

Lorsque vous configurez une expression personnalisée, elle est ajoutée à la zone Expression de la boîte de dialogue de stratégie.

Configuration des expressions composées

Une stratégie de pré-authentification peut comporter un profil et plusieurs expressions. Si vous configurez des expressions composées, vous utilisez des opérateurs pour spécifier les conditions de l’expression. Par exemple, vous pouvez configurer des expressions composées pour que la machine utilisateur exécute l’une des applications antivirus suivantes :

  • Symantec Antivirus 10
  • McAfee Antivirus 11
  • Sophos Antivirus 4

Vous configurez l’expression avec l’opérateur OR pour rechercher les trois applications précédentes. Si Citrix Gateway détecte la version correcte de l’une des applications sur la machine utilisateur, les utilisateurs sont autorisés à ouvrir une session. L’expression de la boîte de dialogue de stratégie apparaît comme suit :

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

Pour plus d’informations sur les expressions composées, consultez la section Configuration des expressions composées.

Lier les stratégies de pré-authentification

Après avoir créé la stratégie de pré-authentification ou de session de sécurité client, liez-la au niveau auquel elle s’applique. Vous pouvez lier les stratégies de pré-authentification aux serveurs virtuels ou globalement.

Créer et lier une stratégie de pré-authentification à l’échelle mondiale

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, cliquez sur Modifier les paramètres de pré-authentification.
  3. Dans la boîte de dialogue Paramètres globaux de pré-authentification, dans Action, sélectionnez Autoriser ou Refuser.
  4. Dans Nom, tapez le nom de la stratégie.
  5. Dans la boîte de dialogue Paramètres de pré-authentification globale, en regard de Expressions nommées, sélectionnez Général, sélectionnez Valeur réelle, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.

Liaison d’une stratégie de pré-authentification à un serveur virtuel

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Serveurs virtuels.
  2. Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.
  3. Dans la boîte de dialogue Configurer Citrix Gateway Virtual Server, cliquez sur l’onglet Stratégies, puis sur Pré-authentification.
  4. Sous Détails, cliquez sur Insérer une stratégie, puis sous Nom de la stratégie, sélectionnez la stratégie de pré-authentification.
  5. Cliquez sur OK.

Délier et supprimer les stratégies de pré-authentification

Vous pouvez supprimer une stratégie de pré-authentification de Citrix Gateway si nécessaire. Avant de supprimer une stratégie de pré-authentification, déconnectez-la du serveur virtuel ou globalement.

Délier une stratégie de pré-authentification globale

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sélectionnez une stratégie, puis dans Action, cliquez sur Liaisons globales.
  3. Dans la boîte de dialogue Lier/délier les stratégies de pré-authentification à la stratégie globale, sélectionnez une stratégie, cliquez sur Délier la stratégie, puis cliquez sur OK.

Délier une stratégie de pré-authentification à un serveur virtuel

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Serveurs virtuels.
  2. Dans la boîte de dialogue Configurer le serveur virtuel Citrix Gateway, cliquez sur l’onglet Stratégies, puis sur Préauthentification.
  3. Sélectionnez la stratégie, puis cliquez sur Unbind Policy.

Lorsque la stratégie de pré-authentification n’est pas liée, vous pouvez la supprimer de Citrix Gateway.

Supprimer une stratégie de pré-authentification

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sélectionnez une stratégie, puis cliquez sur Supprimer.

Définir la priorité des stratégies de pré-authentification

Vous pouvez avoir plusieurs stratégies de pré-authentification liées à différents niveaux. Par exemple, vous disposez d’une stratégie qui recherche une application antivirus spécifique liée à Citrix ADC AAA Global et une stratégie de pare-feu liée au serveur virtuel. Lorsque les utilisateurs ouvrent une session, la stratégie liée au serveur virtuel est appliquée en premier. La stratégie liée à Citrix ADC AAA Global est appliquée en second lieu.

Vous pouvez modifier l’ordre dans lequel se déroulent les analyses de pré-authentification. Pour que Citrix Gateway applique d’abord la stratégie globale, modifiez le numéro de priorité de la stratégie liée au serveur virtuel, en lui attribuant un numéro de priorité supérieur à celui de la stratégie liée globalement. Par exemple, définissez le numéro de priorité de la stratégie globale sur un et la stratégie de serveur virtuel sur deux. Lorsque les utilisateurs ouvrent une session, Citrix Gateway exécute d’abord l’analyse de stratégie globale et l’analyse de stratégie de serveur virtuel en second lieu.

Modifier la priorité d’une stratégie de pré-authentification

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Serveurs virtuels.
  2. Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.
  3. Dans l’onglet Stratégies, cliquez sur Pré-authentification.
  4. Sous Priorité, tapez le numéro de priorité de la stratégie, puis cliquez sur OK.