Citrix ADC

承認ポリシー

承認ポリシーを構成するときに、内部ネットワーク内のネットワークリソースへのアクセスを許可または拒否するように設定できます。たとえば、ユーザーが10.3.3.0ネットワークにアクセスできるようにするには、次の式を使用します。

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

承認ポリシーはユーザーとグループに適用されます。ユーザーが認証された後、Citrix Gatewayは、RADIUS、LDAP、またはTACACS +サーバーのいずれかからユーザーのグループ情報を取得することにより、グループ認証チェックを実行します。ユーザーがグループ情報を利用できる場合、Citrix Gatewayはグループに許可されているネットワークリソースを確認します。

ユーザーがアクセスできるリソースを制御するには、承認ポリシーを作成する必要があります。許可ポリシーを作成する必要がない場合は、デフォルトのグローバル許可を構成できます。

承認ポリシー内でファイルパスへのアクセスを拒否する式を作成する場合は、サブディレクトリパスのみを使用でき、ルートディレクトリは使用できません。たとえば、fs.pathを使用します “\\dir1\\dir2” fs.pathの代わりに “\\rootdir\\dir1\\dir2”. この例で2番目のバージョンを使用すると、ポリシーは失敗します。

承認ポリシーを構成した後、それをユーザーまたはグループにバインドします。

デフォルトでは、承認ポリシーは、最初に仮想サーバーにバインドするポリシーに対して検証され、次にグローバルにバインドされるポリシーに対して検証されます。ポリシーをグローバルにバインドし、ユーザー、グループ、または仮想サーバーにバインドするポリシーよりもグローバルポリシーを優先する場合は、ポリシーの優先順位番号を変更できます。優先順位番号はゼロから始まります。優先順位の数値が小さいほど、ポリシーの優先順位が高くなります。

たとえば、グローバルポリシーの優先度が1で、ユーザーの優先度が2の場合、グローバル認証ポリシーが最初に適用されます。

重要:

  • 従来の承認ポリシーは、TCPトラフィックにのみ適用されます。
  • 高度な承認ポリシーは、すべてのタイプのトラフィックに適用できます (TCP/UDP/ICMP/DNS).

    • To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

    • While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
    • The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

高度な承認ポリシーの詳細については、「https://support.citrix.com/article/CTX232237」を参照してください。

承認ポリシーを構成してバインドする

GUIを使用して許可ポリシーを構成します

  1. Citrix Gateway >[ポリシー]>[認証]に移動します。
  2. 詳細ペインで、[ 追加]をクリックします。
  3. [ 名前]に、ポリシーの名前を入力します。
  4. [アクション ]で、[許可]または[ 拒否]を選択します。
  5. では、 式エディタをクリックします。
  6. 式の構成を開始するには、[ 選択 ]をクリックして、必要な要素を選択します。
  7. 式が完成したら、[ 完了]を クリックします。
  8. [作成] をクリックします。

GUIを使用して、承認ポリシーをユーザーにバインドします

  1. Citrix Gateway > ユーザー管理に移動します。
  2. AAAユーザーをクリックします。
  3. 詳細ペインで、ユーザーを選択し、[ 編集]をクリックします。
  4. [ 詳細設定]で、[ 承認ポリシー]をクリックします。
  5. [ ポリシーのバインド] ページで、ポリシーを選択するか、ポリシーを作成します。
  6. [ 優先度]で、優先度番号を設定します。
  7. [ タイプ]で、リクエストタイプを選択し、[ OK]をクリックします。

GUIを使用して、承認ポリシーをグループにバインドします

  1. Citrix Gateway > User Administrationに移動します。
  2. AAAグループをクリックします。
  3. 詳細ペインで、グループを選択し、[ 編集]をクリックします。
  4. [ 詳細設定]で、[ 承認ポリシー]をクリックします。
  5. [ ポリシーのバインド] ページで、ポリシーを選択するか、ポリシーを作成します。
  6. [ 優先度]で、優先度番号を設定します。
  7. [ タイプ]で、リクエストタイプを選択し、[ OK]をクリックします。

承認は、ユーザーがCitrix Gatewayにログオンするときにアクセスできるネットワークリソースを指定します。承認のデフォルト設定は、すべてのネットワークリソースへのアクセスを拒否することです。デフォルトのグローバル設定を使用し、承認ポリシーを作成して、ユーザーがアクセスできるネットワークリソースを定義することをお勧めします。

承認ポリシーと式を使用して、Citrix Gatewayで承認を構成します。許可ポリシーを作成したら、アプライアンスで構成したユーザーまたはグループにポリシーをバインドできます。

デフォルトのグローバル認証

ユーザーが内部ネットワーク上でアクセスできるリソースを定義するために、デフォルトのグローバル認証を構成できます。内部ネットワーク上のネットワークリソースへのアクセスをグローバルに許可または拒否することにより、グローバル認証を構成します。

作成したグローバル承認アクションは、直接またはグループを介して、承認ポリシーがまだ関連付けられていないすべてのユーザーに適用されます。ユーザーまたはグループの承認ポリシーは、常にグローバル承認アクションを上書きします。デフォルトの承認アクションが[拒否]に設定されている場合は、すべてのユーザーまたはグループに承認ポリシーを適用して、それらのユーザーまたはグループがネットワークリソースにアクセスできるようにする必要があります。この要件は、セキュリティの向上に役立ちます。

デフォルトのグローバル認証を設定するには:

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[Citrix Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ペインの[設定]で、[グローバル設定の変更]をクリックします。
  3. [セキュリティ]タブの[デフォルトの承認アクション]の横にある[許可]または[拒否]を選択し、[OK]をクリックします。
承認ポリシー