配置 SmartControl
智能控制允许管理员定义精细策略,以配置和强制执行 Citrix Gateway 上的 Citrix Virtual Apps and Desktops 的用户环境属性。智能控制允许管理员从单个位置管理这些策略,而不是在这些服务器类型的每个实例管理这些策略。
智能控制是通过 Citrix Gateway 上的 ICA 策略实现的。每个 ICA 策略都是表达式和访问配置文件组合,可应用于用户、组、虚拟服务器和全局。ICA 策略在用户在会话建立时进行身份验证后进行评估。
下表列出了智能控制可以强制执行的用户环境属性:
| | | | ———————————————————————————— | ————————————————————————————————————————————— | | ConnectClientDrives | 指定用户登录时与客户端驱动器的默认连接。 |ConnectClientLPTPorts|指定用户登录时从客户端自动连接 LPT 端口。LPT 端口是本地打印机端口。| |ClientAudioRedirection|指定服务器上托管的应用程序,以便通过客户端计算机上安装的声音设备传输音频。| |ClientClipboardRedirection|在客户端设备上指定并配置剪贴板访问,并在服务器上映射剪贴板。| |ClientCOMPortRedirection|指定到客户端和从客户端的 COM 端口重定向。COM 端口是通信端口。这些是串行端口。| |ClientDriveRedirection|指定到客户端和从客户端的驱动器重定向。| |多流|指定指定用户的多流功能。| |ClientUSBDeviceRedirection|指定 USB 设备与客户端之间的重定向(仅限工作站主机)。| |本地远程数据|指定 Citrix Workspace 应用程序的 HTML5 文件上传下载功能。| |ClientPrinterRedirection|指定用户登录到会话时要映射到服务器的客户端打印机。| | 策略 | 操作 | 访问配置文件 | | 添加 | 编辑 | 删除 | | 显示绑定 | 策略管理器 | 操作 |
策略
ICA 策略指定操作、访问配置文件、表达式以及可选的日志操作。以下命令可从“策略”选项卡中获得:
- 添加
- 编辑
- 删除
- 显示绑定
- 策略管理器
- 操作
添加
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
在详细信息窗格的“策略”选项卡上,单击“添加”。
-
此时将显示以下屏幕。在“名 称”对话框中,键入策略的名称。这是必填字段。所有必填字段均以星号表示。
-
在操作旁边执行以下操作之一:
- 单击 > 图标以选择现有操作。有关详细信息,请参阅[选择一个操作]下 (#common-进程)。
- 单击 + 图标以创建新动作。有关详细信息,请参阅[创建新操作]下 (#common-进程)。
- 铅笔 图标处于禁用状态。
-
创建表达式。
-
创建 日志操作。欲了解更多详情,请参阅创建日志操作。
-
在注释框中输入一条消息。注释写入消息日志。此字段是可选的。
-
单击创建。
编辑
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
从列表中选择 ICA 策略。
-
在详细信息窗格的“策略”选项卡上,单击“编辑”。
-
验证策略名称。
-
要修订该 行动,请执行 以下操作之一:
- 单击 > 图标以修改现有 操 作。有关详细信息,请参阅[选择一个操作] 下 (#common-进程)。
- 单击 + 以 创建新 动 作图标。有关详细信息,请参阅[创建新操作] 下 (#common-进程)。
- 单击 铅笔 图标以修改[访问配置文件] 。
-
根据需要修改 表达式 。有关详细信息,请参阅[表达式]下 (#common-进程)。
-
要修改 日志操 作,请执行以下操作之一:
-
单击 + 以创建新的 日志操作。
-
单击 铅笔 图标以配置审核消息。
-
-
根据需要修改评论。
-
单击确定。
删除
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
从列表中选择所需的 ICA 策略。
-
在详细信息窗格的“策略”选项卡上,单击“删除”。
-
单击“是”,确认您要删除策略。
显示绑定
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
从列表中选择 ICA 策略。
-
在详细信息窗格的“策略”选项卡上,单击“显示绑定”。
策略管理器
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
从列表中选择所需的 ICA 策略。
-
在详细信息窗格的“策略”选项卡上,单击“策略管理器”
-
从“绑定点”对话框中,从下拉菜单中选择一个策略。以下是以下选项:
- 覆盖全局
- VPN 虚拟服务器
- 缓存重定向虚拟服务器
- 默认全局
-
从“连接类型”对话框中,从下拉菜单中选择绑定策略。
-
如果选择 VPN 虚拟服务器或缓存重定向虚拟服务器,则使用下拉框连接到服务器。
-
单击 继续。
添加装订
-
选择“继续”后,将显示此屏幕。
-
选择要附加绑定的策略。
-
选择添加装订。
策略绑定
1. 选择完成后,将显示此屏幕。
取消绑定策略
-
选择要取消绑定的策略,然后单击“取消绑定”按钮。
-
点击 完成
-
单击弹出屏幕上的“是”按钮以确认您希望取消绑定所选实体。
绑定国家保护机制
-
选择需要 NOPICS 的策略,然后单击 绑定 NOPICS 按钮。
-
点击 完成
编辑
您可以从 ICA 策略管理器进行编辑。
-
选择要编辑的策略,然后选择 编辑。
-
您可以选择进行以下编辑:**编辑绑定**,编辑策略[[]]、编辑操作[]。
有关更多信息 **[编辑绑定],请参阅[]、[]。**
编辑绑定
-
选择策略后,单击 编辑绑定。
-
验证您正在编辑所需的策略。此策略名称不可编辑。
-
根据需要设置优先级。
-
根据需要设置转到表达式。
-
点击 绑定 按钮。
编辑策略
-
选择策略后,单击 编辑策略。
-
验证策略名称以确保您正在编辑所需的策略。此字段不可编辑。
-
要修改“操作”策略,请执行以下操作之一:
- 单击 > 图标以选择现有操作。有关详细信息,请参阅[选择一个操作] 下 (#common-进程)。
- 单击 + 图标以创建动作。有关详细信息,请参阅[创建新操作] 下 (#common-进程)。
- 单击 铅笔 图标以修改访问配置文件。有关详细信息,请参阅[选择现有访问配置文件]下 (#common-进程)。
-
根据需要修改表达式。有关更多详细信息,请参阅[表达式] 下 (#common-进程)。
-
从下拉菜单中选择所需的消息类型。要创建日志操作,请执行以下操作之一:
-
输入有关 ICA 策略的注释。
-
编辑完成后 ,单击“确定”。
编辑操作
-
选择策略后,单击 编辑操作。
-
验证操作名称以确认您正在编辑所需操作。此字段不可编辑。
-
在访问配置文件旁边执行以下操作之一:
- 单击 **>** 图标以选择其他访问配置文件。详情请参阅配置操作。
- 单击 **+** 图标以选择新的频道配置文件。创建访问配置文件#creating-an-access-profile-with-the-configuration-utility[()]。
- 单击 铅笔 图标以修改访问配置文件。有关详细信息,请参阅[选择现有访问配置文件] 下 (#common-进程)。
-
单击确定。
操作
策略 > 操作命令用于重命名操作。
-
从列表中选择所需的 ICA 操作。
-
在 ICA 策略选项卡上,单击操作。从下拉菜单中选择重命名。
-
重命名操作。
-
单击 OK(确定)
操作
操作将策略与访问配置文件相连接。以下命令可从“策略”选项卡中获得:
- 添加
- 编辑
- 删除
- 操作
添加
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
在详细信息窗格中的“操作”选项卡上,单击“添加”。
-
单击 **>** 图标以选择现有的访问配置文件。有关详细信息,请参阅[选择现有访问配置文件] 下 (#common-进程)。
-
单击 + 图标以创建新的访问配置文件。详情请参阅创建访问配置文件。。
-
此屏幕禁用 铅笔 图标。
-
-
单击创建。
编辑
-
从列表中选择所需的 ICA 策略。
-
在详细信息窗格中的“操作”选项卡上,单击“编辑”。
配置操作
-
验证操作名称以确认您正在编辑所需操作。此字段不可编辑。
-
在访问配置文件旁边执行以下操作之一:
-
单击确定。
删除
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“操作”,然后单击“ICA”。
-
从列表中选择所需的 ICA 操作。
-
在详细信息窗格中的“操作”选项卡上,单击“删除”。
-
单击“是”,确认要删除策略的操作。
操作
ICA 操作 > 操作命令用于重命名操作。
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“操作”,然后单击“ICA”。
-
从列表中选择所需的 ICA 操作。
-
在详细信息窗格中的“操作”选项卡上,单击“操作”。
-
从下拉菜单中选择“操作”>“重命名”。
-
重命名操作。
-
单击 OK(确定)
访问配置文件
ICA 配置文件定义用户连接的设置。
访问配置文件指定在用户设备满足策略表达式条件时应用于用户的 Citrix Virtual Apps and Desktops 环境 ICA 的操作。您可以使用配置实用程序独立于 ICA 策略创建 ICA 配置文件,然后将该配置文件用于多个策略。您只能将一个配置文件与策略结合使用。
您可以独立于 ICA 策略创建访问配置文件。创建策略时,您可以选择要附加到策略的 Access 配置文件。访问配置文件指定用户可用的资源。以下命令可从“策略”选项卡中获得:
- 添加
- 编辑
- 删除
使用配置实用程序创建访问配置文件
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
在详细信息窗格中,单击访问配置文件选项卡,然后单击添加。
-
配置配置文件的设置,单击创建,然后单击关闭。创建配置文件后,您可以将其包含在 ICA 策略中。
使用配置实用程序将访问配置文件添加到策略
-
在配置实用程序中的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
在“策略”选项卡上,执行以下操作之一:
-
单击添加以创建新的 ICA 策略。
-
选择一个策略,然后单击打开。
-
-
在“操作”菜单中,从列表中选择访问配置文件。
-
完成 ICA 策略的配置,然后执行以下操作之一:
a. 单击创建,然后单击关闭以创建策略。
b. 单击确定,然后单击关闭以修改策略。
添加
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“策略”,然后单击“ICA”。
-
在详细信息窗格中的访问配置文件选项卡上,单击 添加。**
-
在“名称”中,键入访问配置文件的名称。这是必填字段**。**
-
从显示的下拉菜单中选择“默认”或“禁用”以创建访问配置文件。
-
单击创建。
编辑
-
选择要编辑的访问配置文件。
-
在详细信息窗格中的访问配置文件选项卡上,单击 编辑。
配置访问配置文件
-
验证名 称 是您想要修改的名称。
- 从下拉菜单中选择“默认”或“禁用”以根据需要进行配置。
- 单击确定。
删除
-
在配置实用程序中的“配置”选项卡的导航窗格中,展开“Citrix Gateway”>“操作”,然后单击“ICA”。
-
从列表中选择所需的 ICA 操作。
-
在详细信息窗格中的“操作”选项卡上,单击“删除”。
-
单击“是”,确认要删除的访问配置文件。
共同程序
创建新操作
-
键入操作的名称。
-
选择以下选项之一以提供访问配置文件:
-
单击 > 以选择现有访问配置文件。请参阅 #common-进程 下的详细信息。
-
单击 + 以创建新的访问配置文件。详情请参阅创建访问配置文件。
-
铅笔 图标处于禁用状态。
-
-
单击创建。
选择一个操作
-
通过单击左侧的单选按钮来选择一个操作。关联的访问配置文件指定允许的用户功能。
-
点击选 择 按钮。
创建访问配置文件
-
命名访问配置文件。
-
您可以选择从此菜单中配置访问配置文件。
-
单击创建。
选择现有访问配置文件
-
通过点击访问配置文件来选择它。
-
单击编辑。
-
配置访问配置文件。详情请参阅配置访问配置文件。
表达式
- 要创建或修改现有表达式,请选择“清除”。
这些是典型的 ICA 表达式。对于 HTTP 表达式,输入带有“”的名称并删除 ()。
| ICA.SERVER.PORT | 此表达式检查指定的端口是否与用户尝试连接的 Citrix Virtual Apps and Desktops 上的端口号匹配。 |
| ICA.SERVER.IP | 此表达式检查指定的 IP 是否与用户尝试连接的 Citrix Virtual Apps and Desktops上的 IP 地址匹配。 |
| HTTP.REQ.USER.IS_MEMBER_OF(“”).NOT | 此表达式检查当前连接是否由非指定组名成员的用户访问。 |
| HTTP.REQ.USER.IS_MEMBER_OF(“groupname”) | 此表达式检查访问当前连接的用户是否是指定组的成员。 |
| HTTP.REQ.USERNAME.CONTAINS(“”).NOT | 此表达式检查访问当前连接的用户是否不是指定组的成员。 |
| HTTP.REQ.USERNAME.CONTAINS(“enter username”) 指定用于用户名的资源。 | 此表达式检查当前连接是否按指定名称进行访问。 |
| CLIENT.IP.DST.EQ(enter ip address here).NOT | 此表达式检查当前流量的目标 IP 不等于指定的 IP 地址。 |
| CLIENT.IP.DST.EQ(enter ip address here) | 此表达式检查当前流量的目标 IP 是否等于指定的 IP 地址。 |
| CLIENT.TCP.DSTPORT.EQ (enter port number).NOT | 此表达式检查目标端口是否等于指定的端口号。 |
| CLIENT.TCP.DSTPORT.EQ (enter port number) | 此表达式检查目标端口是否等于指定的端口号。 |
2. 同时,选择“控制”和“空 格键”,然后您的选项可见。
3. 键入周期。进行选择,然后按 空 格键。 4. 在上表中表达式的每个句点,键入句点。进行选择,然后按空格键。 5. 单击确定。
群体识别
带有组名变量的表达式由预真实函数或会话函数定义。
预验证
- 从配置窗格中选择预身份验证。
-
从预身份验证策略中选择一个名称。
-
从“预身份验证策略”选项卡中选择“编辑”。
-
选择“请求操作”对话框旁边的 铅笔 图标或 + 。
-
在 <groupname> 默认 EPA 组对话框中定义 (“”)。
会议
1. 从配置窗格中选择会话。
创建日志操作
1. 在“配置策略”屏幕中,“日志操作”对话框旁边,选择“+”图标
创建审核消息操作
2. 此时将显示“创建审核消息操作”屏幕。命名审核消息。审核消息仅接受数字、字母或下划线字符。
3. 从下拉菜单中指定审核日志级别。
| 紧急情况 | 指示服务器上立即发生危机的事件。 |
| 警报 | 可能需要操作的事件。 |
| 严重 | 表明服务器危机迫在眉睫的事件。 |
| 错误 | 指示某种类型错误的事件。 |
| 警告 | 需要在不久的将来采取行动的事件。 |
| 注意事项 | 管理员应了解的事件。 |
| 参考信息 | 除低级别事件外,所有事件。 |
| 调试 | 所有的事件,在极端的细节。 |
4. 输入表达式。表达式定义日志的格式和内容。
5. 复选框。
- 检查在 newnslog 中登录以将消息发送到新的 ns 日志。
- 检查旁路安全检查以绕过安全检查。这允许不安全的表达式。
6. 单击创建。
修改日志操作
-
在“配置策略”屏幕中,单击“日志操作”对话框旁边的图标。
配置审核消息操作
以下是可编辑字段:
-
从下拉菜单中指定审核日志级别。
-
输入表达式。表达式定义日志的格式和内容。
-
复选框:
-
检查在 newnslog 中登录以将消息发送到新的 ns 日志。
-
检查旁路安全检查以绕过安全检查。这允许不安全的表达式。
-
-
单击确定。
选择现有策略
-
单击 > 图标以选择现有策略。
-
选择所需策略的单选按钮。
创建新策略
- 在“名称”中,键入策略的名称。这是必填字段。
-
单击 + 以 创建新策略。
-
创建操作。有关详细信息,请参阅 创建新操作。
-
命名访问配置文件。
- 从此菜单中配置访问配置文件。
- 单击创建。
-
单击 Bind(绑定)。
配置身份验证前和身份验证后端点分析
本节介绍如何配置身份验证后和身份验证前端分析 (EPA)。
要使用智能控制配置身份验证后 EPA,请使用 VPN 会话操作中的智能组参数。EPA 表达式在 VPN 会话策略上配置。
您可以为智能组参数指定组名。此组名可以是任何字符串。groupname 不需要是 Active Directory 中的现有组。
使用表达式 HTTP.REQ.IS_MEMBER_OF (“groupname”) 配置 ICA 策略。使用先前为智能组指定的组名。
要使用智能控制配置预身份验证 EPA,请使用预身份验证配置文件中的默认 EPA 组参数。EPA 表达式在预身份验证策略上进行配置。
您可以为默认 EPA 组参数指定组名。此组名可以是任何字符串。groupname 不需要是 Active Directory 中的现有组。
使用表达式 HTTP.REQ.IS_MEMBER_OF (“groupname”) 配置 ICA 策略,使用之前为默认 EPA 组指定的组名。
身份验证后配置
使用以下过程为身份验证后配置设置智能组。
-
转到“Citrix NetScaler”>“策略”> 会话。
-
转到会话配置文件 > 添加。
创建 Citrix Gateway 会话配置文件
-
选择“安 全”选项卡。
-
输入 Citrix Gateway 配置文件的 名称 (操作)。
-
选中下拉菜单右侧的框,然后选择所需的 默认授权操作。
指定用户登录到内部网络时有权访问的网络资源。授权的默认设置是拒绝访问所有网络资源。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。如果将默认授权策略设置为“拒绝”,则必须明确授权对任何网络资源的访问,从而提高了安全性。
-
选中下拉菜单右侧的框,然后选择所需的 安全浏览。
允许用户通过 Citrix Gateway 从安装了 Citrix Workspace 应用程序的 iOS 和 Android 移动设备连接到网络资源。用户无需建立完整的 VPN 通道即可访问安全网络中的资源。
-
选中下拉菜单右侧的框并输入 智能组 名称。
这是当与此会话操作关联的会话策略成功时,用户所在的组。VPN 会话策略将执行身份验证 EPA 后检查,如果检查成功,用户将被放置在 Smartgroup 指定的组中。然后,表达式 is_member_of (http.req.user.is_member_of) 可以与策略一起使用,以检查 EPA 是否已传递给属于此智能组的用户。
-
单击创建。
-
转到“Citrix NetScaler”>“策略”> 会话。
-
转到会话策略 > 添加。
-
在此 字 段中输入名称。
这是用户登录 Citrix Gateway 后应用的新会话策略的名称。
-
使用下拉菜单选择 配置文件 操作。
如果满足规则条件,则新会话策略应用的操作。
如果需要创建所需的配置文件,请选择 +。有关更多详细信息,请参阅 创建 Citrix Gateway 会话配置文件。
-
在此字段中输入 表达式 。
此字段定义指定与策略匹配的流量的命名表达式。表达式可以使用默认语法或经典语法编写。表达式的文字字符串的最大长度为 255 个字符。较长的字符串可拆分为较小的字符串,每个字符串最多 255 个字符,而较小的字符串与 + 运算符串连接。例如,您可以创建一个 500 个字符的字符串,如下所示:’“”+“”’
以下要求仅适用于 Citrix ADC CLI:
* 如果表达式包含一个或多个空格,则将整个表达式用双引号括起来。如果表达式本身包含双引号,请使用字符转义引号。 或者,您可以使用单引号将规则括起来,在这种情况下,不必转义双引号。
-
单击创建。
-
转到 会话策略。
-
选择会话策略的 名称 。
-
从“操作”下拉菜单中选择“全局绑定”。
-
选择 添加装订。
-
选择 > 以选择现有策略。
注意:选择 + 以创建新策略。有关更多详细信息,请参阅 创建 Citrix Gateway 会话配置文件。
-
从列表中选择一个名称, 然后按“选择”按钮。
-
输入 优先级 并单击 绑定 。
-
点击 完成
-
该检查显示您的选择是全局绑定的。
预身份验证配置
使用以下过程设置预身份验证配置。
-
转到“Citrix NetScaler”>“策略”> 预身份验证。
-
选择“预身份验证配置文件”选项卡,然后选择“添加”。
-
输入名 称
这是预身份验证操作的名称。名称必须以字母、数字或下划线字符 (_) 开头,并且只能由字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、在 (@)、equals (=)、冒号 (:) 和下划线字符组成。创建预身份验证操作后无法更改。
注意:以下要求仅适用于 Citrix ADC CLI: 如果名称包含一个或多个空格,请使用双引号或单引号将名称括起来。
-
从下拉菜单中选择 请求操 作。这是策略在连接匹配策略时要调用的操作。
注意:如果要或创建预身份验证配置文件,请选择 +。有关更多信息,请参阅创建预身份验证配置文件
-
输入表 达式
这是 Citrix ADC 命名规则的名称,或者用于定义与策略匹配的连接的默认语法表达式。
-
单击创建。
-
转到“预身份验证策略”选项卡并选择所需的策略。
-
从“操作”下拉菜单中选择“全局绑定”。
-
选择 添加绑定。
-
选择 > 以选择现有策略。
选择 + 以 创建新策略。有关更多详细信息,请参阅“创建 Citrix Gateway 会话配置文件”。
-
选择 策略。
-
输入 优先级 并单击 绑定 。
-
单击完成。
-
检查显示 预身份验证策略 是 全局绑定 的。
创建预身份验证配置文件
-
输入 名称。
这是预身份验证操作的 名称 。名称必须以字母、数字或下划线字符 (_) 开头,并且只能由字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、在 (@)、equals (=)、冒号 (:) 和下划线字符组成。创建预身份验证操作后无法更改。
以下要求仅适用于 Citrix ADC CLI: 如果名称包含一个或多个空格,请使用双引号或单引号将名称括起来。
-
从下拉菜单中输入 操 作。
此选项将在终端分析 (EPA) 结果后允许或拒绝登录。
-
要取消的流程
此选项标识要由端点分析 (EPA) 工具终止的一串流程。
-
要删除的文件
此选项标识一个字符串,指定要由端点分析 (EPA) 工具删除的文件的路径和名称。
-
默认 EPA 组
这是 EPA 检查成功时选择的默认组。
-
单击创建。