会话和交通管理
会话设置
配置身份验证、授权和审核配置文件后,您可以配置会话设置以自定义用户会话。会话设置如下:
-
会话超时。
控制用户自动断开连接并且必须重新进行身份验证才能访问 Intranet 的时间段。
-
默认授权设置。
确定 Citrix ADC 设备在默认情况下是允许还是拒绝访问没有特定授权策略的内容。
-
单点登录设置。
确定 Citrix ADC 设备是在用户进行身份验证后自动将用户登录到所有 Web 应用程序,还是将用户传递到 Web 应用程序登录页面以便为每个应用程序进行身份验证。
-
凭据索引设置。
确定 Citrix ADC 设备是使用主身份验证凭据还是辅助身份验证凭据进行单点登录。
要配置会话设置,可以采用两种方法之一。如果您希望为不同的用户帐户或组设置不同,则需要为其配置自定义会话设置的每个用户帐户或组创建配置文件。您还可以创建策略以选择要应用特定配置文件的连接,并将策略绑定到用户或组。您还可以将策略绑定到处理要应用配置文件的流量的身份验证虚拟服务器。
如果您希望对所有会话使用相同的设置,或者如果要为未配置特定配置文件和策略的会话自定义默认设置,则只需配置全局会话设置即可。
会话配置文件
要自定义用户会话,请首先创建会话配置文件。会话配置文件允许您覆盖任何会话参数的全局设置。
注意
术语“会话配置文件”和“会话操作”意味着同样的事情。
使用命令行界面创建会话配置文件
在命令提示符下,键入以下命令以创建会话配置文件并验证配置:
add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
show tm sessionAction <name>
示例
> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
Done
> show tm sessionAction session-profile
1) Name: session-profile
Authorization action : ALLOW
Session timeout: 30 minutes
Done
使用命令行界面修改会话配置文件
在命令提示符下,键入以下命令以修改会话配置文件并验证配置:
set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
show tm sessionAction
示例
> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
Done
> show tm sessionAction session-profile
1) Name: session-profile
Authorization action : ALLOW
Session timeout: 30 minutes
Done
使用命令行界面删除会话配置文件
在命令提示符下,键入以下命令以删除会话配置文件:
rm tm sessionAction <name>
使用配置实用程序配置会话配置文件
- 导航到 安全 > AAA-应用程序流量 > 会话。
- 导航到 安全 > AAA-应用程序流量 > 策略 > 会话。
- 在详细信息窗格中,单击 配置文件 选项卡。
- 在 配置文件 选项卡上,执行以下操作之一:
- 要创建新的会话配置文件,请单击添加”。
- 要修改现有会话配置文件,请选择该配置文件,然后单击 编辑。
- 在“创建 TM 会话配置文件”或“配置 TM 会话配置文件”对话框中,键入或选择参数的值。
- 名称*— actionname(无法更改之前配置的会话操作。)
- 会话超时 — sesstimeout
- 单点登录 Web 应用程序 — SSO
- 默认授权操作 — 默认授权操作
- 证书索引 — ssocredential
- 单点登录域 — ssoDomain
- HTTPOnly Cookie — httpOnlyCookie
- 启用持久性 Cookie — persistentCookie
- 持久性 Cookie 的有效性 — persistentCookieValidity
- 单击创建或确定。您创建的会话配置文件将显示在“会话策略和配置文件”窗格中。
会话策略
创建一个或多个会话配置文件后,您可以创建会话策略,然后将策略全局绑定或绑定到身份验证虚拟服务器以使其生效。
使用命令行界面创建会话策略
在命令提示符下,键入以下命令以创建会话策略并验证配置:
- add tm sessionPolicy <name> <rule> <action>
- show tm sessionPolicy <name>
示例
> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1) Name: session-pol Rule: URL == '/\*.gif'
Action: session-profile
Done
使用命令行界面修改会话策略
在命令提示符下,键入以下命令以修改会话策略并验证配置:
- set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
- show tm sessionPolicy <name>
示例
> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1) Name: session-pol Rule: URL == '/\*.gif'
Action: session-profile
Done
使用命令行界面全局绑定会话策略
在命令提示符处,键入以下命令以全局绑定会话策略并验证配置:
bind tm global -policyName <policyname> [-priority <priority>]
示例
> bind tm global -policyName session-pol
Done
> show tm sessionPolicy session-pol
1) Name: session-pol Rule: URL == '/*.gif'
Action: session-profile
Policy is bound to following entities
1) TM GLOBAL PRIORITY : 0
Done
使用命令行界面将会话策略绑定到身份验证虚拟服务器
在命令提示符下,键入以下命令以将会话策略绑定到身份验证虚拟并验证配置:
bind authentication vserver <name> -policy <policyname> [-priority <priority>]
示例
bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
使用命令行界面从身份验证虚拟服务器取消绑定会话策略
在命令提示符处,键入以下命令以从身份验证虚拟服务器取消绑定会话策略并验证配置:
unbind authentication vserver <name> -policy <policyname>
示例
unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
使用命令行界面取消绑定全局绑定的会话策略
在命令提示符下,键入以下命令以取消绑定全局绑定的会话策略:
unbind tm global -policyName <policyname>
示例
unbind tm global -policyName Session-Pol-1
Done
使用命令行界面删除会话策略
首先从全局取消绑定会话策略,然后在命令提示符下键入以下命令以删除会话策略并验证配置:
rm tm sessionPolicy <name>
示例
rm tm sessionPolicy Session-Pol-1
Done
使用配置实用程序配置和绑定会话策略
- 导航到安全性 > AAA-应用程序流量 > 会话。
- 导航到安全性 > AAA-应用程序流量 > 策略 > 会话。
- 在详细信息窗格的策略选项卡上,执行以下操作之一:
- 要创建新的会话策略,请单击添加。
- 若要修改现有会话策略,请选择该策略,然后单击编辑。
- 在 “ 创建会话策略 ” 或 “ 配置会话策略 ” 对话框中,键入或选择参数的值。
- 名称*— policyname(无法更改之前配置的会话策略。)
- 请求配置文件*— actionname
- 表达式*-规则(首先在“表达式”文本区域下方的最左侧下拉列表中选择表达式的类型,然后直接在表达式文本区域中键入表达式,或者单击添加打开“添加表达式”对话框并使用下拉-下列表来构造您的表达式。)
- 单击创建或确定。您创建的策略将显示在会话策略和配置文件页的详细信息窗格中。
- 要全局绑定会话策略,请在详细信息窗格中,从操作下拉列表中选择全局绑定,然后填写对话框。
- 选择要全局绑定的会话策略的名称。
- 单击确定。
- 要将会话策略绑定到身份验证虚拟服务器,请在导航窗格中单击虚拟服务器,然后将该策略添加到策略列表中。
- 在详细信息窗格中,选择虚拟服务器,然后单击编辑。
- 在详细信息区域右侧的高级选择中,单击策略。
- 选择一个策略,或单击加号图标添加策略。
- 在左侧的 优先级 列中,修改默认优先级,以确保按正确的顺序评估策略。
- 单击确定。 状态栏中将显示一条消息,指出该策略已成功配置。
全局会话设置
除了创建会话配置文件和策略之外,还可以配置全局会话设置。当没有显式策略覆盖这些设置时,这些设置控制会话配置。
使用命令行界面配置会话设置
在命令提示符下,键入以下命令以配置全局会话设置并验证配置:
set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
示例
> set tm sessionParameter -sessTimeout 30
Done
> set tm sessionParameter -defaultAuthorizationAction DENY
Done
> set tm sessionParameter -SSO ON
Done
> set tm sessionParameter -ssoCredential PRIMARY
Done
使用配置实用程序配置会话设置
- 导航到安全 > AAA-应用程序流量
- 在详细信息窗格的设置下,单击“更改全局设置”。
- 在全局会话设置对话框中,键入或选择参数的值。
- 会话超时 — sessTimeout
- 默认授权操作 — 默认授权操作
- 单点登录 Web 应用程序 — sso
- 证书索引 — ssoCredential
- 单点登录域 — ssoDomain
- HTTPOnly Cookie — httpOnlyCookie
- 启用持久性 Cookie — persistentCookie
- 持久性 Cookie 有效性(分钟)— persistentCookieValidity
- 主页 — 主页
- 单击确定。
流量设置
如果对受保护的应用程序使用基于表单的或 SAML 单点登录 (SSO),则可以在“流量”设置中配置该功能。SSO 允许用户登录一次以访问所有受保护的应用程序,而不是要求用户单独登录才能访问每个应用程序。
基于表单的 SSO 允许您使用自己设计的 Web 表单作为登录方法,而不是通用弹出窗口。因此,您可以将公司徽标和您希望用户看到的其他信息放在登录表单上。SAML SSO 允许您配置一个 Citrix ADC 设备或虚拟设备实例,以便代表已通过第一个设备进行身份验证的用户向另一个 Citrix ADC 设备进行身份验证。
要配置任一类型的 SSO,首先创建表单或 SAML SSO 配置文件。接下来,创建流量配置文件并将其链接到您创建的 SSO 配置文件。接下来,您创建一个策略,将其链接到流量配置文件。最后,您将策略全局绑定或绑定到身份验证虚拟服务器以使配置生效。
流量配置文件
创建至少一个表单或 SAML SSO 配置文件后,必须接下来创建流量配置文件。
注意:
在这个功能中,术语“配置文件”和“操作”意味着同样的事情。
使用命令行界面创建流量配置文件
在命令提示窗口中,键入:
add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
示例
add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
使用命令行界面修改会话配置文件
在命令提示窗口中,键入:
set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
示例
set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
使用命令行界面删除会话配置文件
在命令提示窗口中,键入:
rm tm trafficAction <name>
示例
rm tm trafficAction Traffic-Prof-1
使用配置实用程序配置流量配置文件
- 导航到安全性 > AAA-应用程序流量 > 流量。
- 导航到安全 > AAA-应用程序流量 > 策略 > 流量。
- 在详细信息窗格中,单击 配置文件 选项卡。
- 在“配置文件”选项卡上,执行以下操作之一:
- 要创建新的流量配置文件,请单击添加”。
- 要修改现有流量配置文件,请选择该配置文件,然后单击编辑”。
- 在创建流量配置文件或配置流量配置文件对话框中,指定参数的值。
- 名称*— name(无法更改之前配置的会话操作。)
- AppTimeout—appTimeout
- 单点登录 - SSO
- 表单 SSO 操作 - formSSOAction
- SAML SSO 操作 — samlSSOAction
- 启用持久性 Cookie — persistentCookie
- 启动注销 - InitiateLogout
- 单击创建或确定。根据需要,您创建的流量配置文件将显示在“流量策略”、“配置文件”以及“表单 SSO 配置文件”或“SAML SSO 配置文件”窗格中。
支持 AAA.USER 和 AAA.LOGIN 表达式
AAA.USER 表达式现在被实现来替换现有的 HTTP.REQ.USER 表达式。AA.USER 表达式适用于处理非 HTTP 流量,例如 Secure Web Gateway (SWG) 和基于角色的访问 (RBA) 机制。AAA.USER 表达式等同于 HTTP.REQ.USER 表达式。
您可以在各种操作或配置文件配置中使用表达式。
在命令提示窗口中,键入:
add tm trafficAction <name> [SSO (ON|OFF) [-userExpression <string>]
示例
add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"
add tm trafficPolicy tm_pol true tm_act
bind lb vserver lb1 -policyName tm_pol -priority 2
注意:
如果您使用 HTTP.REQ.USER 表达式,则警告消息“HTTP.REQ.USER 已被弃用。使用 AAA.USER 改为”出现在命令提示符上。
-
AAA.LOGIN 表达式。LOGIN 表达式表示预登录,也称为登录请求。登录请求可以来自 Citrix Gateway、SAML IdP 或 OAuth 身份验证。Citrix ADC 将从策略配置中抽象所需的属性。AAA.LOGIN 表达式包含可基于以下内容获取的属性:
- AAA.LOGIN.USERNAME。从当前登录请求中获取用户名(如果找到)。应用于非登录请求的同一表达式(由身份验证、授权和审计确定)会生成空字符串。
- AAA.LOGIN.PASSWORD。从当前登录请求中获取用户密码(如果找到)。如果找不到密码,则表达式将生成空字符串。
- AAA.LOGIN.PASSWORD2。从登录请求中获取第二个密码(如果找到)。
- AAA.LOGIN.DOMAIN。从登录请求中获取域信息。
-
AAA.USER.ATTRIBUTE。
AAA.USER.ATTRIBUTE
表达式现在有一个与其关联的整数。可以对属性进行分组,并使用适当的名称命名字符串。身份验证、授权和审计模块AAA.USER.ATTRIBUTE("string")
将查找用户会话属性,然后查询哈希表中的该特定属性。例如,如果设置了Attributes("samaccountname")
,则AAA.USER.ATTRIBUTE("samaccountname")
会查询哈希映射并获取samaccountname
对应的值。
流量策略
创建一个或多个表单 SSO 和流量配置文件后,您可以创建流量策略,然后将这些策略全局绑定或绑定到流量管理虚拟服务器,以使其生效。
使用命令行界面创建流量策略
在命令提示窗口中,键入:
add tm trafficPolicy <name> <rule> <action>
示例
add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
使用命令行界面修改流量策略
在命令提示窗口中,键入:
set tm trafficPolicy <name> <rule> <action>
示例
set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
使用命令行界面全局绑定流量策略
在命令提示窗口中,键入:
bind tm global -policyName <string> [-priority <priority>]
示例
bind tm global -policyName Traffic-Pol-1
使用命令行界面将流量策略绑定到负载平衡或内容交换虚拟服务器
在命令提示窗口中,键入以下命令之一:
bind lb vserver <name> -policy <policyName> [-priority <priority>]
bind cs vserver <name> -policy <policyName> [-priority <priority>]
示例
bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
使用命令行界面解除绑定全局绑定流量策略的步骤
在命令提示窗口中,键入:
unbind tm global -policyName <policyname>
示例
unbind tm global -policyName Traffic-Pol-1
使用命令行界面从负载平衡或内容交换虚拟服务器取消绑定流量策略
在命令提示窗口中,键入以下命令之一:
unbind lb vserver <name> -policy <policyname>
unbind cs vserver <name> -policy <policyname>
示例
unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
使用命令行界面删除流量策略
首先从全局取消绑定会话策略,然后在命令提示符下键入:
rm tm trafficPolicy <name>
示例
rm tm trafficPolicy Traffic-Pol-1
使用配置实用程序配置和绑定流量策略
- 导航到安全性 > AAA-应用程序流量 > 流量。
- 导航到安全 > AAA-应用程序流量 > 策略 > 流量。
- 在详细信息窗格中,执行以下操作之一:
- 要创建新的会话策略,请单击 添加。
- 要修改现有会话策略,请选择该策略,然后单击 编辑。
- 在创建流量策略或配置流量策略对话框中,为参数指定值。
- 名称*— policyName(无法更改之前配置的会话策略。)
- 配置文件*— actionName
- 表达式- rule(首先在“表达式”文本区域下方的最左侧下拉列表中选择表达式的类型,然后直接在表达式文本区域中键入表达式,或者单击“添加”打开“添加表达式”对话框并使用其中的下拉列表来输入表达式构造您的表达式。)
- 单击创建或确定。您创建的策略将显示在会话策略和配置文件页的详细信息窗格中。
表单 SSO 配置文件
要启用和配置基于表单的 SSO,首先要创建 SSO 配置文件。
注意
- 如果表单被自定义为包含 Javascript,则基于表单的单点登录不起作用。
- 在这个功能中,术语“配置文件”和“操作”意味着同样的事情。
使用命令行界面创建表单 SSO 配置文件
在命令提示窗口中,键入:
add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
show tm formSSOAction [<name>]
示例
add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
使用命令行界面修改表单 SSO
在命令提示窗口中,键入:
set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
示例
set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
使用命令行界面删除表单 SSO 配置文件的步骤
在命令提示窗口中,键入:
rm tm formSSOAction <name>
示例
rm tm sessionAction SSO-Prof-1
使用配置实用程序配置表单 SSO 配置文件
- 导航到安全”>“AAA-应用程序流量”>“策略”>“流量”。
- 在详细信息窗格中,单击表单 SSO 配置文件选项卡。
- 在“表单 SSO 配置文件”选项卡上,执行以下操作之一:
- 要创建新表单 SSO 配置文件,请单击添加。
- 要修改现有表单 SSO 配置文件,请选择该配置文件,然后单击“编辑”。
- 在 “ 创建表单 SSO 配置文 件” 或 “ 配置表单 SSO 配置文件 ” 对话框中,指定参数的值:
- 名称*— name(无法更改之前配置的会话操作。)
- 操作 URL* — actionURL
- 用户名字段*— userField
- 密码字段*— passField
- 表达式*— ssoSuccessRule
- 名称值对- nameValuePair
- 响应大小- responsesize
- 提取 - nvtype
- 提交方法 - submitMethod</span>
- 单击创建或确定,然后单击关闭。您创建的表单 SSO 配置文件将显示在流量策略、配置文件和表单 SSO 配置文件窗格中。
SAML SSO 配置文件
要启用和配置基于 SAML 的 SSO,首先要创建 SAML SSO 配置文件。
使用命令行界面创建 SAML SSO 配置文件
在命令提示窗口中,键入:
add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
示例
add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc." -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true" -sendPassword "ON" -samlIssuerName "Example, Inc."
使用命令行界面修改 SAML SSO
在命令提示窗口中,键入:
set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
示例
set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc." -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true" -sendPassword "ON" -samlIssuerName "Example, Inc."
使用命令行界面删除 SAML SSO 配置文件
在命令提示窗口中,键入:
rm tm samlSSOProfile <name>
示例
rm tm sessionAction saml-SSO-Prof-1
使用配置实用程序配置 SAML SSO 配置文件
- 导航到安全 > AAA-应用程序流量 > 策略 > 流量。
- 在详细信息窗格中,单击 SAML SSO 配置文件选项卡。
- 在 SAML SSO 配置文件选项卡上,执行以下操作之一:
- 要创建新的 SAML SSO 配置文件,请单击 添加。
- 要修改现有 SAML SSO 配置文件,请选择该配置文件,然后单击 OpenEdit。
- 在创建 SAML SSO 配置文件或配置 SAML SSO 配置文件对话框中,设置以下参数:
- 姓名*
- 签名证书名称*
- ACS URL*
- 中继状态规则*
- 发送密码
- 颁发者名称
- 单击创建或确定,然后单击关闭。您创建的 SAML SSO 配置文件将显示在“流量策略”、“配置文件”和“SAML SSO 配置文件”窗格中。
OWA 2010 的会话超时
您现在可以强制 OWA 2010 连接在指定的非活动时间后超时。OWA 向服务器发送重复的保持活动请求,以防止超时。保持连接打开可能会干扰单点登录。
使用命令行界面强制 OWA 2010 在指定时间段后超时
在命令提示符下,键入以下命令:
add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
对于 <actname>,请替换流量策略的名称。对于 <mins>,替换在此之后启动强制超时的分钟数。对于 <forcedTimeout>,请替换以下值之一:
-STAR T — 如果计时器尚未启动,则启动强制超时计时器。如果存在正在运行的计时器,则无效。 -停止 -停止运行的计时器。如果没有找到正在运行的计时器,则无效。 -RESET — 重 新启动正在运行的计时器。如果没有找到正在运行的计时器,就像使用了 START 选项一样启动计时器。
add tm trafficPolicy <polname> <rule> <actname>
对于 <polname>,请替换流量策略的名称。对于 <rule>,替换 Citrix ADC 默认语法中的规则。
bind lb vserver <vservername> –policyName <name> -priority <number>
对于 <vservername>,替换身份验证、授权和审核流量管理虚拟服务器的名称。对于 <priority>,替换指定策略优先级的整数。
示例
add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10