認可ポリシーの設定

認可ポリシーを設定するときに、内部ネットワークのネットワークリソースへのアクセスを許可または拒否するように設定できます。たとえば、ユーザが 10.3.3.0 ネットワークにアクセスできるようにするには、次の式を使用します。

REQ.IP.DESTIP==10.3.0.0 -netmask 255.255.0.0

承認ポリシーは、ユーザーとグループに適用されます。ユーザーが認証されると、Citrix Gateway は、RADIUS、LDAP、またはTACACS+サーバーからユーザーのグループ情報を取得して、グループ承認チェックを実行します。ユーザーがグループ情報を使用できる場合、Citrix Gateway はそのグループに許可されているネットワークリソースをチェックします。

ユーザーがアクセスできるリソースを制御するには、承認ポリシーを作成する必要があります。認可ポリシーを作成する必要がない場合は、デフォルトのグローバル認可を設定できます。

ファイルパスへのアクセスを拒否する式を認可ポリシー内に作成した場合、ルートディレクトリではなく、サブディレクトリパスのみを使用できます。たとえば、「\\ ルートディレクトリ\\ dir1\\ dir2」ではなく、fs.path に「\\ dir1\\ dir2」が含まれているを使用します。この例で 2 番目のバージョンを使用すると、ポリシーは失敗します。

認可ポリシーを設定したら、次のタスクに示すように、それをユーザーまたはグループにバインドします。

デフォルトでは、認可ポリシーは、最初に仮想サーバにバインドしたポリシーに対して検証され、次にグローバルにバインドされたポリシーに対して検証されます。ポリシーをグローバルにバインドし、ユーザー、グループ、または仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合は、ポリシーのプライオリティ番号を変更できます。プライオリティ番号はゼロから始まります。プライオリティ番号が小さいほど、ポリシーの優先順位が高くなります。

たとえば、グローバルポリシーの優先順位番号が 1 で、ユーザの優先順位が 2 の場合、グローバル認証ポリシーが最初に適用されます。

重要:

  • 従来の認可ポリシーは、TCP トラフィックにだけ適用されます。
  • 高度な認可ポリシーは、すべてのタイプのトラフィック(TCP/UDP/ICMP/DNS)に適用できます。

    • UDP/ICMP/DNS トラフィックにポリシーを適用するには、ポリシーが UDP_REQUEST、ICMP_REQUEST、DNS_REQUEST の各タイプでバインドされている必要があります。

    • バインディング中、「タイプ」が明示的に言及されていないか、「タイプ」がREQUESTに設定されている場合、動作は以前のビルドから変更されません。つまり、これらのポリシーは、TCPトラフィックにのみ適用されます。

高度な承認ポリシーの詳細については、「https://support.citrix.com/article/CTX232237」を参照してください。

GUI を使用して認可ポリシーを設定するには

  1. Citrix Gateway >[ポリシー]>[認証]に移動します。
  2. 詳細ウィンドウで、[ 追加] をクリックします。
  3. [ 名前]に、ポリシーの名前を入力します。
  4. アクション」で、「 許可」または「 拒否」を選択します。
  5. [ ] で、[ 式エディタ] をクリックします。
  6. 式の構成を開始するには、[ 選択 ] をクリックして必要な要素を選択します。
  7. 式が完成したら、[ 完了 ] をクリックします。
  8. [作成] をクリックします。

GUI を使用して認可ポリシーをユーザーにバインドするには

  1. Citrix Gateway >[ユーザー管理]に移動します。
  2. [ AAA ユーザ] をクリックします。
  3. 詳細ペインでユーザーを選択し、[ 編集] をクリックします。
  4. [ 詳細設定]で、[ 承認ポリシー] をクリックします。
  5. ポリシー・バインディング 」ページで、ポリシーを選択するか、ポリシーを作成します。
  6. [ 優先度]で、優先度番号を設定します。
  7. タイプ」で要求タイプを選択し、「 OK」をクリックします。

GUI を使用して認可ポリシーをグループにバインドするには

  1. Citrix Gateway >[ユーザー管理]に移動します。
  2. [ AAA グループ]をクリックします。
  3. 詳細ペインでグループを選択し、[ 編集] をクリックします。
  4. [ 詳細設定]で、[ 承認ポリシー] をクリックします。
  5. ポリシー・バインディング 」ページで、ポリシーを選択するか、ポリシーを作成します。
  6. [ 優先度]で、優先度番号を設定します。
  7. タイプ」で要求タイプを選択し、「 OK」をクリックします。