Citrix Gateway

配置授权策略

配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:

REQ.IP.DESTIP==10.3.0.0 -netmask 255.255.0.0

授权策略应用于用户和组。对用户进行身份验证后,Citrix Gateway 通过从 RADIUS、LDAP 或 TACACS+ 服务器获取用户的组信息来执行组授权检查。如果用户可用组信息,Citrix Gateway 将检查该组允许的网络资源。

要控制用户可以访问哪些资源,您必须创建授权策略。如果您不需要创建授权策略,则可以配置默认的全局授权。

如果您在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径而不能使用根目录。例如,使用 fs.path 包含“\\dir1\\dir2”而非 fs.path 包含“\\rootdir\\dir1\\dir2”。如果您在此示例中使用第二个版本,则策略将失败。

配置授权策略后,您将其绑定到用户或组,如以下任务所示。

默认情况下,授权策略首先针对绑定到虚拟服务器的策略进行验证,然后针对全局绑定的策略进行验证。如果您全局绑定策略,并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级号。优先级数从零开始。优先级数越低,策略的优先级越高。

例如,如果全局策略的优先级号为 1,用户的优先级为 2,则首先应用全局身份验证策略。

重要:

  • 传统授权策略仅适用于 TCP 流量。
  • 高级授权策略可应用于所有类型的流量(TCP/UDP/ICMP/DNS)。

    • 要对 UDP/ICMP/DNS 流量应用策略,策略必须分别绑定为 UDP_REQUEST、ICMP_REQUEST 和 DNS_REQUEST 类型。

    • 绑定时,如果没有明确提到“类型”或“类型”设置为 REQUEST,则行为不会从早期版本中改变,即这些策略仅应用于 TCP 流量。

有关高级授权策略的更多详细信息,请参阅文章https://support.citrix.com/article/CTX232237

使用 GUI 配置授权策略

  1. 导航到 Citrix Gateway > 策略 > 授权。
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 在“名称”中,键入策略的名称。
  4. 在“作”中,选择“允许”或“拒绝”。
  5. 在“表达式”中,单击“表达式编辑器”。
  6. 要开始配置表达式,请单击“选 ”并选择必要的元素。
  7. 表达式 成后单击“完成”。
  8. 单击创建

使用 GUI 将授权策略绑定到用户

  1. 导航到 Citrix Gateway > 用户管理。
  2. 点击 AAA 用户
  3. 在详细信息窗格中,选择一个用户,然后单击 编辑
  4. 在“高级设置”中,单击“授权策略”。
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 在“优先级”中,设置优先级号。
  7. 在“类型”中,选择请求类型,然后单击“确定”。

使用 GUI 将授权策略绑定到组

  1. 导航到 Citrix Gateway > 用户管理
  2. 点击 AAA 组
  3. 在详细信息窗格中,选择一个组,然后单击 编辑
  4. 在“高级设置”中,单击“授权策略”。
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 在“优先级”中,设置优先级号。
  7. 在“类型”中,选择请求类型,然后单击“确定”。
配置授权策略