配置预身份验证策略和配置文件

警告

从 NetScaler 12.0 版本 56.20 版本开始,AAA 预身份验证策略已弃用,作为替代方案,Citrix 建议您使用 Nfactor 身份验证。有关更多信息,请参阅多因素(n因子)身份验证主题。

您可以将 Citrix 网关配置为在用户进行身份验证之前检查客户端安全性。此方法可确保与 Citrix 网关建立会话的用户设备符合您的安全要求。您可以通过使用特定于虚拟服务器或全局的预身份验证策略来配置客户端安全检查,如以下两个过程所述。

预身份验证策略由配置文件和表达式组成。配置配置文件以使用操作允许或拒绝在用户设备上执行进程。例如,文本文件,clienttext.txt,正在用户设备上运行。当用户登录到 Citrix 网关时,如果文本文件正在运行,则可以允许或拒绝访问。如果您不希望允许用户登录,如果进程正在运行,请配置配置文件,以便在用户登录之前停止进程。

您可以为预身份验证策略配置以下设置:

  • 表达式。包括以下设置以帮助您创建表达式:
    • 表达式。显示所有创建的表达式。
    • 匹配任何表达式。配置策略以匹配所选表达式列表中存在的任何表达式。
    • 匹配所有表达式。配置策略以匹配所选表达式列表中存在的所有表达式。
    • 表格表达式。使用 OR (||) 或 AND (&&) 运算符创建具有现有表达式的复合表达式。
    • 先进的自由形状。使用表达式名称以及 OR (||) 和 AND (&&) 运算符创建自定义复合表达式。仅选择需要的表达式,并从选定表达式列表中省略其他表达式。
    • 添加。创建新表达式。
    • 修改。修改现有表达式。
    • 删除。从复合表达式列表中删除选定的表达式。
    • 命名表达式。选择已配置的命名表达式。您可以从 Citrix 网关上已存在的表达式下拉列表中选择命名表达式。
    • 添加表达式。将选定的命名表达式添加到策略中。
    • 替换表达式。将选定的命名表达式替换为策略。
    • 预览表达式。显示选择命名表达式时将在 Citrix 网关上配置的详细客户端安全字符串。

使用配置实用程序全局配置预身份验证配置文件

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关,然后单击 “全局设置”。
  2. 在详细信息窗格的 “设置” 下,单击 “更改预身份验证设置”。
  3. 在 “全局预身份验证设置” 对话框中,配置设置:
    1. 在 “操作” 中,选择 “允许” 或 “拒绝”。

      在端点分析发生后拒绝或允许用户登录。

    2. 在要取消的进程中,输入流程。

      这将指定要由端点分析插件停止的进程。

    3. 在要删除的文件中,输入文件名。

      这将指定要由端点分析插件删除的文件。

  4. 在表达式中,您可以保留表达式 ns_true 或为特定应用程序(如防病毒软件或安全软件)构建表达式,然后单击 “确定”。

使用配置实用程序配置预身份验证配置文件

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 策略 > 身份验证/授权,然后单击 “预身份验证 EPA”。
  2. 在详细信息窗格中的配置文件选项卡上,单击添加。
  3. 在 “名称” 中,键入要检查的应用程序的名称。
  4. 在 “操作” 中,选择 “允许” 或 “拒绝”。
  5. 在要取消的进程中,键入要停止的进程的名称。
  6. 在要删除的文件中,键入要删除的文件的名称,如 c:clientext.txt,单击创建,然后单击关闭。

    注意:如果要删除文件或进程停止,用户会收到一条消息,要求确认。步骤 5 和 6 是可选参数。

如果您使用配置实用程序配置预身份验证配置文件,则通过单击 “策略” 选项卡上的 “添加” 来创建预身份验证策略。在 “创建预身份验证策略” 对话框中,从 “请求配置文件” 下拉列表中选择配置文件。