用户场景示例

以下示例演示如何创建一组完整的用户帐户、组和命令策略,并将每个策略绑定到相应的组和用户。该公司“示例制造公司”有三个用户可以访问 Citrix ADC 设备:

  • John Doe。IT 经理。John 需要能够查看 Citrix ADC 配置的所有部分,但不需要修改任何内容。

Maria Ramiez。首席 IT 管理员。Maria 需要能够查看和修改 Citrix ADC 配置的所有部分,但 Citrix ADC 命令除外(必须在以 nsroot 身份登录时执行本地策略规定)。

  • Michael Baldrock。负责负载平衡的 IT 管理员。Michael 需要能够查看 Citrix ADC 配置的所有部分,但只需修改负载平衡功能。

下表显示示示例公司的网络信息、用户帐户名称、组名称和命令策略的细目。

字段 注意
Citrix ADC 主机名称 ns01.example.net 不适用
用户帐户 johnd、mariar 和 michaelb John Doe,IT 经理,Maria Ramirez,IT 管理员,Michael Baldrock,IT 管理员。
管理人员和系统操作程序 所有经理和所有 IT 管理员。
命令策略 全部读取、修改和修改 允许完全只读访问、允许修改访问以实现负载平衡和允许完全修改访问。

以下描述将引导您完成在名为 ns01.example.net 的 Citrix ADC 设备上创建一组完整的用户帐户、组和命令策略的过程。

描述包括将相应的用户帐户和组绑定到另一个,以及将适当的命令策略绑定到用户帐户和组的过程。

此示例说明了如何使用优先级为 IT 部门中的每个用户授予精确的访问权限和权限。

该示例假定已在 Citrix ADC 上执行初始安装和配置。

配置步骤

  1. 使用“配置用户帐户”中描述的过程创建用户帐户 Johndmariarmichaelb
  2. 使用“配置用户组”中描述的过程创建用户组管理员系统操作员,然后将用户 mariarmichaelb 添加到系统操作员组,将用户 johnd 绑定到管理员组。
  3. 使用 “中描述的过程创建[创建自定义命令策略]以下命令策略:

    • read_all,操作为允许,命令规范为 "(^show\s+(?!system)(?!ns ns.conf)(?!ns runningConfig).*)|(^stat.*)"
    • modify_lb,操作为允许,命令规范为 "^set\s+lb\s+.*$"
    • modify_all,操作为“允许”,命令规范为 "^\S+\s+(?!system).*"
  4. 使用“将命令策略绑定到用户和组”中描述的过程将 read_all 命令策略绑定到具有优先级值 1系统操作员组。
  5. 使用“将命令策略绑定到用户和组”中描述的过程将 modify_lb 命令策略绑定到具有优先级值 5 的用户 michaelb

您刚刚创建的配置结果如下:

  • IT 经理 John Doe 拥有对整个 Citrix ADC 配置的只读访问权限,但他无法进行修改。
  • IT 领导人 Maria Ramirez 几乎可以完全访问 Citrix ADC 配置的所有区域,只需登录才能执行 Citrix ADC 级命令。
  • 负责负载平衡的 IT 管理员 Michael Baldrock 拥有对 Citrix ADC 配置的只读访问权限,并且可以修改负载平衡的配置选项。

适用于特定用户的命令策略集是直接应用于用户帐户的命令策略和应用于用户所属组的命令策略的组合。

每次用户输入命令时,操作系统都会搜索该用户的命令策略,直到找到具有与该命令匹配的“允许”或“拒绝”操作的策略。当找到匹配项时,操作系统将停止其命令策略搜索,并允许或拒绝对命令的访问。

如果操作系统未找到匹配的命令策略,则根据 Citrix ADC 设备的默认拒绝策略,将拒绝用户访问该命令。

注意

将用户放入多个组时,请注意不要导致意外的用户命令限制或权限。为避免这些冲突,在组中组织用户时,请记住 Citrix ADC 命令策略搜索过程和策略排序规则。

用户场景示例