配置授权策略

配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:

网络掩码

授权策略应用于用户和组。对用户进行身份验证后,Citrix Gateway 通过从 RADIUS、LDAP 或 TACCS+ 服务器获取用户的组信息来执行组授权检查。如果用户可用组信息,Citrix Gateway 将检查该组允许的网络资源。

要控制用户可以访问哪些资源,您必须创建授权策略。如果您不需要创建授权策略,则可以配置默认的全局授权。

如果您在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径而不能使用根目录。例如,使用 fs.path 包含 “脏 1 2” 而不是 fs.path 包含 “脏 1 2”。如果您在此示例中使用第二个版本,则策略将失败。

配置授权策略后,您将其绑定到用户或组,如以下任务所示。

默认情况下,授权策略首先针对绑定到虚拟服务器的策略进行验证,然后针对全局绑定的策略进行验证。如果您全局绑定策略,并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级号。优先级数从零开始。优先级数越低,策略的优先级越高。

例如,如果全局策略的优先级号为 1,用户的优先级为 2,则首先应用全局身份验证策略。

要配置授权策略,请执行以下操作:

  1. 在配置实用程序中的 “配置” 选项卡上,展开 Citrix 网关 > “策略” > “授权”。
  2. 在详细信息窗格中,单击添加。
  3. 在 “名称” 中,键入策略的名称。
  4. 在 “操作” 中,选择 “允许” 或 “拒绝”。
  5. 在 “表达式” 中,单击 “表达式编辑器”。
  6. 要开始配置表达式,请单击 “选择” 并选择必要的元素。当您的表达式完成时,单击完成。
  7. 单击创建。

使用配置实用程序将授权策略绑定到用户:

  1. 在配置实用程序中,在 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 用户管理,然后单击 AAA 用户。
  2. 在详细信息窗格中,选择一个用户,然后单击打开。
  3. 在授权选项卡上,单击插入策略。
  4. 在策略名称下,双击策略。
  5. 在 “优先级” 下,设置优先级号,然后单击 “确定”。

要使用配置实用程序将授权策略绑定到组,请执行以下操作:

  1. 在配置实用程序中,在 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 用户管理,然后单击 AAA 组。
  2. 在详细信息窗格中,选择一个组,然后单击打开。
  3. 在授权选项卡上,单击插入策略。
  4. 在策略名称下,双击策略。
  5. 在 “优先级” 下,设置优先级号,然后单击 “确定”。

配置授权策略