-
身份验证、授权和审核的工作原理
-
感谢您提供反馈。
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
身份验证、授权和审核的工作原理
身份验证、授权和审核允许任何具有适当凭据的客户端从 Internet 上的任意位置安全地连接到受保护的应用程序服务器,从而为分布式 Internet 环境提供了安全性。此功能融合了身份验证、授权和审核这三个安全功能。身份验证使 Citrix ADC 能够在本地或使用第三方身份验证服务器验证客户端的凭据,并且仅允许批准的用户访问受保护的服务器。授权使 ADC 能够验证允许每位用户访问受保护的服务器上的哪些内容。通过审核,ADC 能够在受保护的服务器上记录每位用户的活动。
要了解身份验证、授权和审核在分布式环境中的工作原理,请假设一个使用 Intranet 的组织,该组织的员工可以在办公室、家中和出差时进行访问。Intranet 上的内容是机密的,需要安全访问。任何想要访问 Intranet 的用户都必须具有有效的用户名和密码。为了满足这些要求,ADC 将执行以下操作:
- 如果用户在未登录的情况下访问 Intranet,则将用户重定向到登录页面。
-
收集用户的凭据,将其传送到身份验证服务器,然后将其缓存在可通过 LDAP 访问的目录中。有关详细信息,请参阅确定 LDAP 目录中的属性。
- 在将用户的请求发送到应用程序服务器之前,验证用户是否有权访问特定的 Intranet 内容。
- 保持会话超时时间,超过该时间后,用户必须再次进行身份验证才能重新获得对 Intranet 的访问权限。(您可以配置超时。)
- 将用户的访问情况(包括无效的登录尝试)记录在审核日志中。
配置身份验证授权和审核策略
设置用户和组后,接下来,您将配置身份验证策略、授权策略和审核策略,以定义允许哪些用户访问 Intranet、允许每个用户或组访问哪些资源以及身份验证、授权和审核以何种详细级别保留在审核日志中。身份验证策略定义了用户尝试登录时要应用的身份验证类型。如果使用外部身份验证,策略还会指定外部身份验证服务器。授权策略指定用户和组在登录后可以访问的网络资源。审核策略定义审核日志类型和位置。
您必须绑定每个策略才能使其生效。可以将身份验证策略绑定到身份验证虚拟服务器,将授权策略绑定到一个或多个用户帐户或组,并将全局审核策略绑定到一个或多个用户帐户或组。
绑定策略时,您需要为其分配优先级。优先级决定了您定义的策略的评估顺序。可以将优先级设置为任何正整数。在 Citrix ADC 操作系统中,策略优先级的工作顺序相反:数字越大,优先级越低。例如,如果您有三个策略的优先级分别为 10、100 和 1000,则首先执行分配的优先级为 10 的策略,然后执行分配的优先级为 100 的策略,最后执行分配的优先级为 1000 的策略。身份验证、授权和审核功能仅实施请求匹配的每种策略类型中的第一种策略,而不实施请求可能也匹配的任何其他类型的策略,因此策略优先级对于获取预期结果至关重要。
可以为自己留出足够的空间来按任何顺序添加其他策略,也可以将其设置为按所需顺序进行评估,方法是在绑定策略时,在每个策略之间设置间隔为 50 或 100 的优先级。然后,您可以随时添加其他策略,而无需重新分配现有策略的优先级。
有关 Citrix ADC 设备上的绑定策略的其他信息,请参阅 Citrix ADC 产品文档。
配置 No_Auth 策略以绕过特定流量
现在,您可以将 No_Auth 策略配置为在流量管理虚拟服务器上启用基于 401 的身份验证时绕过身份验证中的某些流量。对于此类流量,您必须绑定“No_Auth”策略。
使用 CLI 将 No_Auth 策略配置为绕过特定流量
在命令提示符下,键入:
add authentication policy <name> -rule <expression> -action <string>
示例:
add authentication policy ldap -rule ldapAct1 -action No_Auth
分享:
分享:
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.