为访问方案回退创建策略

要配置 Citrix Gateway 以进行访问方案回退,您需要通过以下方式创建策略和组:

  • 创建一个隔离组,如果终端分析扫描失败,将用户放置在该隔离组中。
  • 创建在终端分析扫描失败时使用的全局 Web 界面或 StoreFront 设置。
  • 创建覆盖全局设置的会话策略,然后将会话策略绑定到组。
  • 创建在终端分析失败时应用的全局客户端安全策略。

配置访问方案回退时,请使用以下准则:

  • 使用客户端选择或访问方案回退需要针对所有用户使用端点分析插件。如果终端分析无法运行,或者用户在扫描期间选择跳过扫描,则将拒绝用户访问。 注意:在思杰网关 10.1 版本 120.1316.e 中删除了跳过扫描的选项
  • 启用客户端选择时,如果用户设备未通过端点分析扫描,则会将用户置于隔离组中。用户可以继续使用 Citrix 网关插件或 Citrix 接收器登录到 Web 界面或店面。 注意:如果启用客户端选择,Citrix 建议您不要创建隔离组。未通过端点分析扫描并被隔离的用户设备将采用与通过端点扫描的用户设备相同的方式处理。
  • 如果终端分析扫描失败,并且用户被置于隔离组中,则仅当没有直接绑定到与绑定到隔离组的策略具有等于或低于绑定到隔离组的策略的用户的策略时,绑定到隔离组的策略才有效。
  • 您可以为访问界面和 Web 界面或店面使用不同的 Web 地址。配置主页时,Citrix 网关插件的访问接口主页优先,Web 界面用户优先使用 Web 界面主页。“接收器” 主页对于店铺优先。

创建隔离组

  1. 在配置实用程序中,在 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 用户管理,然后单击 AAA 组。
  2. 在详细信息窗格中,单击添加。
  3. 在 “组名称” 中,键入组的名称,单击 “创建”,然后单击 “关闭”。 重要提示:隔离组的名称不得与用户可能属于的任何域组的名称相匹配。如果隔离组匹配 Active Directory 组名称,即使用户设备通过端点分析安全扫描,也会隔离用户。

创建组后,将 Citrix Gateway 配置为在用户设备无法终端分析扫描时回退到 Web 界面。

将设置配置为隔离用户连接

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关,然后单击 “全局设置”。
  2. 在详细信息窗格的 “设置” 下,单击 “更改全局设置”。
  3. 在 “全局 Citrix 网关设置” 对话框中的 “已发布应用程序” 选项卡上的 ICA 代理旁边,选择 “关”。
  4. 在 Web 界面地址旁边,键入店铺或 Web 界面的 Web 地址。
  5. 在单点登录域旁边,键入 Active Directory 域的名称,然后单击“确定”。

配置全局设置后,创建覆盖全局 ICA 代理设置的会话策略,然后将会话策略绑定到隔离组。

创建访问方案回退的会话策略

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 策略,然后单击 “会话”。
  2. 在详细信息窗格中,单击添加。
  3. 在 “名称” 中,键入策略的名称。
  4. 在请求配置文件旁边,单击新建。
  5. 在 “已发布的应用程序” 选项卡上,ICA 代理旁边,单击 “覆盖全局”,选择 “开”,然后单击 “创建”。
  6. 在 “创建会话策略” 对话框的命名表达式旁边,选择 “常规”,选择 “True”,单击 “添加表达式”,单击 “创建”,然后单击 “关闭”。

创建会话策略后,将策略绑定到隔离组。

将会话策略绑定到隔离组

  1. 在配置实用程序中,在 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 用户管理,然后单击 AAA 组。
  2. 在详细信息窗格中,选择一个组,然后单击打开。
  3. 点击会话。
  4. 在 “策略” 选项卡上,选择 “会话”,然后单击 “插入策略”。
  5. 在策略名称下,选择策略,然后单击确定。

在创建启用 Citrix 网关上 Web 界面或 StoreFront 的会话策略和配置文件后,创建全局客户端安全策略。

创建全局客户端安全策略

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关,然后单击 “全局设置”。
  2. 在详细信息窗格的 “设置” 下,单击 “更改全局设置”。
  3. 在 “安全” 选项卡上,单击 “高级设置”。
  4. 在 “客户端安全” 中,输入表达式。有关配置系统表达式的详细信息,请参阅配置系统表达式配置复合客户端安全表达式
  5. 在隔离组中,选择您在组过程中配置的组,然后单击 “确定” 两次。