Citrix ADC

授权策略

配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

授权策略应用于用户和组。对用户进行身份验证后,Citrix Gateway 通过从 RADIUS、LDAP 或 TACACS+ 服务器获取用户的组信息来执行组授权检查。如果用户可用组信息,Citrix Gateway 将检查该组允许的网络资源。

要控制用户可以访问哪些资源,您必须创建授权策略。如果您不需要创建授权策略,则可以配置默认的全局授权。

如果您在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径而不能使用根目录。例如,使用 fs.path 包含“\\dir1\\dir2”而非 fs.path 包含“\\rootdir\\dir1\\dir2”。如果您在此示例中使用第二个版本,则策略将失败。

配置授权策略后,然后将其绑定到用户或组。

默认情况下,授权策略首先针对绑定到虚拟服务器的策略进行验证,然后针对全局绑定的策略进行验证。如果您全局绑定策略,并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级号。优先级数从零开始。优先级数越低,策略的优先级越高。

例如,如果全局策略的优先级号为 1,用户的优先级为 2,则首先应用全局身份验证策略。

重要:

  • 传统授权策略仅适用于 TCP 流量。
  • 高级授权策略可应用于所有类型的流量(TCP/UDP/ICMP/DNS)。

    • To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

    • While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
    • The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

有关高级授权策略的更多详细信息,请参阅文章https://support.citrix.com/article/CTX232237

配置和绑定授权策略

使用 GUI 配置授权策略

  1. 导航到 Citrix Gateway > 策略 > 授权。
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 名称中,键入策略的名称。
  4. 操作中,选择 允许拒绝
  5. 在“表达式”中,单击“表达式编辑器”。
  6. 要开始配置表达式,请单击“选 ”并选择必要的元素。
  7. 表达式 成后单击“完成”。
  8. 单击创建

使用 GUI 将授权策略绑定到用户

  1. 导航到 Citrix Gateway > 用户管理。
  2. 点击 AAA 用户
  3. 在详细信息窗格中,选择一个用户,然后单击 编辑
  4. 在“高级设置”中,单击“授权策略”。
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 在“优先级”中,设置优先级号。
  7. 在“类型”中,选择请求类型,然后单击“确定”。

使用 GUI 将授权策略绑定到组

  1. 导航到 Citrix Gateway > 用户管理
  2. 点击 AAA 组
  3. 在详细信息窗格中,选择一个组,然后单击 编辑
  4. 在“高级设置”中,单击“授权策略”。
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 在“优先级”中,设置优先级号。
  7. 在“类型”中,选择请求类型,然后单击“确定”。

授权指定用户登录 Citrix Gateway 时可以访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。

您可以使用授权策略和表达式在 Citrix Gateway 上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。

默认全局授权

要定义用户在内部网络上可以访问的资源,您可以配置默认的全局授权。您可以通过允许或拒绝访问内部网络上的全局网络资源来配置全局授权。

您创建的任何全局授权操作都将应用于尚未与其关联的授权策略的所有用户,无论是直接还是通过组应用。用户或组授权策略始终覆盖全局授权操作。如果默认授权操作设置为拒绝,则必须对所有用户或组应用授权策略,以便这些用户或组可以访问网络资源。此要求有助于提高安全性。

要设置默认的全局授权:

  1. 在配置实用程序中的“Configuration”(配置)选项卡上的导航窗格中,展开“Citrix Gateway”,然后单击“Global Settings”(全局设置)。
  2. 在详细信息窗格中,单击 Settings(设置)下的“Change global settings”(更改全局设置)。
  3. 在“安全”选项卡上的“默认授权操作”旁边,选择“允许”或“拒绝”,然后单击“确定”。
授权策略