Citrix ADC

承認ポリシー

承認ポリシーを構成するときに、内部ネットワーク内のネットワークリソースへのアクセスを許可または拒否するように設定できます。たとえば、ユーザーが10.3.3.0ネットワークにアクセスできるようにするには、次の式を使用します。

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

承認ポリシーはユーザーとグループに適用されます。ユーザーが認証された後、Citrix Gatewayは、RADIUS、LDAP、またはTACACS +サーバーのいずれかからユーザーのグループ情報を取得することにより、グループ認証チェックを実行します。ユーザーがグループ情報を利用できる場合、Citrix Gatewayはグループに許可されているネットワークリソースを確認します。

ユーザーがアクセスできるリソースを制御するには、承認ポリシーを作成する必要があります。許可ポリシーを作成する必要がない場合は、デフォルトのグローバル許可を構成できます。

承認ポリシー内でファイルパスへのアクセスを拒否する式を作成する場合は、サブディレクトリパスのみを使用でき、ルートディレクトリは使用できません。たとえば、fs.pathを使用します “\\dir1\\dir2” fs.pathの代わりに “\\rootdir\\dir1\\dir2”. この例で2番目のバージョンを使用すると、ポリシーは失敗します。

承認ポリシーを構成した後、それをユーザーまたはグループにバインドします。

デフォルトでは、承認ポリシーは、最初に仮想サーバーにバインドするポリシーに対して検証され、次にグローバルにバインドされるポリシーに対して検証されます。ポリシーをグローバルにバインドし、ユーザー、グループ、または仮想サーバーにバインドするポリシーよりもグローバルポリシーを優先する場合は、ポリシーの優先順位番号を変更できます。優先順位番号はゼロから始まります。優先順位の数値が小さいほど、ポリシーの優先順位が高くなります。

たとえば、グローバルポリシーの優先度が1で、ユーザーの優先度が2の場合、グローバル認証ポリシーが最初に適用されます。

重要:

  • 従来の承認ポリシーは、TCPトラフィックにのみ適用されます。
  • 高度な承認ポリシーは、すべてのタイプのトラフィックに適用できます (TCP/UDP/ICMP/DNS).

    • UDP/ICMP/DNS トラフィックにポリシーを適用するには、ポリシーが UDP_REQUEST、ICMP_REQUEST、DNS_REQUEST の各タイプでバインドされている必要があります。

    • バインディング中、「タイプ」が明示的に言及されていないか、「タイプ」がREQUESTに設定されている場合、動作は以前のビルドから変更されません。つまり、これらのポリシーは、TCPトラフィックにのみ適用されます。
    • にバインドされたポリシー UDP_REQUEST DNSトラフィックには適用しないでください。DNSの場合、ポリシーは明示的にバインドする必要があります DNS_REQUEST TCP_DNS 他のTCP要求と同様です。

高度な承認ポリシーの詳細については、「https://support.citrix.com/article/CTX232237」を参照してください。

承認ポリシーを構成してバインドする

GUIを使用して許可ポリシーを構成します

  1. Citrix Gateway >[ポリシー]>[認証]に移動します。
  2. 詳細ペインで、[追加]をクリックします。
  3. [名前]に、ポリシーの名前を入力します。
  4. [アクション ]で、[許可]または[ 拒否]を選択します。
  5. では、 式エディタをクリックします。
  6. 式の構成を開始するには、[選択]をクリックして、必要な要素を選択します。
  7. 式が完成したら、[完了]を クリックします。
  8. [作成] をクリックします。

GUIを使用して、承認ポリシーをユーザーにバインドします

  1. Citrix Gateway >[ユーザー管理]に移動します。
  2. AAAユーザーをクリックします。
  3. 詳細ペインで、ユーザーを選択し、[編集]をクリックします。
  4. [詳細設定]で[承認ポリシー]をクリックします。
  5. [ポリシーのバインド] ページで、ポリシーを選択するか、ポリシーを作成します。
  6. [優先度]で、優先度番号を設定します。
  7. [タイプ]で、リクエストタイプを選択し、[OK]をクリックします。

GUIを使用して、承認ポリシーをグループにバインドします

  1. Citrix Gateway > User Administrationに移動します。
  2. AAAグループをクリックします。
  3. 詳細ペインで、グループを選択し、[編集]をクリックします。
  4. [詳細設定]で[承認ポリシー]をクリックします。
  5. [ポリシーのバインド] ページで、ポリシーを選択するか、ポリシーを作成します。
  6. [優先度]で、優先度番号を設定します。
  7. [タイプ]で、リクエストタイプを選択し、[OK]をクリックします。

承認は、ユーザーがCitrix Gatewayにログオンするときにアクセスできるネットワークリソースを指定します。承認のデフォルト設定は、すべてのネットワークリソースへのアクセスを拒否することです。デフォルトのグローバル設定を使用し、承認ポリシーを作成して、ユーザーがアクセスできるネットワークリソースを定義することをお勧めします。

承認ポリシーと式を使用して、Citrix Gatewayで承認を構成します。許可ポリシーを作成したら、アプライアンスで構成したユーザーまたはグループにポリシーをバインドできます。

デフォルトのグローバル認証

ユーザーが内部ネットワーク上でアクセスできるリソースを定義するために、デフォルトのグローバル認証を構成できます。内部ネットワーク上のネットワークリソースへのアクセスをグローバルに許可または拒否することにより、グローバル認証を構成します。

作成したグローバル承認アクションは、直接またはグループを介して、承認ポリシーがまだ関連付けられていないすべてのユーザーに適用されます。ユーザーまたはグループの承認ポリシーは、常にグローバル承認アクションを上書きします。デフォルトの承認アクションが[拒否]に設定されている場合は、すべてのユーザーまたはグループに承認ポリシーを適用して、それらのユーザーまたはグループがネットワークリソースにアクセスできるようにする必要があります。この要件は、セキュリティの向上に役立ちます。

デフォルトのグローバル認証を設定するには:

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[Citrix Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ペインの[設定]で、[グローバル設定の変更]をクリックします。
  3. [セキュリティ]タブの[デフォルトの承認アクション]の横にある[許可]または[拒否]を選択し、[OK]をクリックします。
承認ポリシー