Produktdokumentation
Citrix ADC
Current Release 13.0 12.1 11.1
PDF anzeigen

Autorisierungsrichtlinien

August 19, 2021
Beitrag von:
C

Wenn Sie eine Autorisierungsrichtlinie konfigurieren, können Sie sie so einstellen, dass der Zugriff auf Netzwerkressourcen im internen Netzwerk zugelassen oder verweigert wird. Um Benutzern beispielsweise den Zugriff auf das 10.3.3.0-Netzwerk zu ermöglichen, verwenden Sie den folgenden Ausdruck:

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

Autorisierungsrichtlinien werden auf Benutzer und Gruppen angewendet. Nachdem ein Benutzer authentifiziert wurde, führt Citrix Gateway eine Gruppenautorisierungsprüfung durch, indem die Gruppeninformationen des Benutzers von einem RADIUS-, LDAP- oder TACACS+-Server abrufen. Wenn Gruppeninformationen für den Benutzer verfügbar sind, überprüft Citrix Gateway die für die Gruppe zulässigen Netzwerkressourcen.

Um zu steuern, auf welche Ressourcen Benutzer zugreifen können, müssen Sie Autorisierungsrichtlinien erstellen. Wenn Sie keine Autorisierungsrichtlinien erstellen müssen, können Sie die globale Standardautorisierung konfigurieren.

Wenn Sie innerhalb der Autorisierungsrichtlinie einen Ausdruck erstellen, der den Zugriff auf einen Dateipfad verweigert, können Sie nur den Unterverzeichnispfad und nicht das Stammverzeichnis verwenden. Verwenden Sie beispielsweise fs.path enthält “\\dir1\\dir2” anstelle von fs.path enthält “\\rootdir\\dir1\\dir2”. Wenn Sie in diesem Beispiel die zweite Version verwenden, schlägt die Richtlinie fehl.

Nachdem Sie die Autorisierungsrichtlinie konfiguriert haben, binden Sie sie dann an einen Benutzer oder eine Gruppe.

Standardmäßig werden Autorisierungsrichtlinien zuerst anhand von Richtlinien überprüft, die Sie an den virtuellen Server binden, und dann gegen global gebundene Richtlinien. Wenn Sie eine Richtlinie global binden und möchten, dass die globale Richtlinie Vorrang vor einer Richtlinie hat, die Sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden, können Sie die Prioritätsnummer der Richtlinie ändern. Prioritätsnummern beginnen bei Null. Eine niedrigere Prioritätszahl gibt der Richtlinie eine höhere Priorität.

Wenn die globale Richtlinie beispielsweise die Prioritätsnummer eins hat und der Benutzer eine Priorität von zwei hat, wird zuerst die globale Authentifizierungsrichtlinie angewendet.

Wichtig:

  • Klassische Autorisierungsrichtlinien werden nur auf TCP-Datenverkehr angewendet.

  • Erweiterte Autorisierungsrichtlinie kann auf alle Arten von Datenverkehr (TCP/UDP/ICMP/DNS) angewendet werden.

    • To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

    • 而绑定,如果没有明确提及“类型”ed or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
    • The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

Weitere Informationen zu erweiterten Autorisierungsrichtlinien finden Sie im Artikelhttps://support.citrix.com/article/CTX232237.

Konfigurieren und binden Sie eine Autorisierungsrichtlinie

Konfigurieren einer Autorisierungsrichtlinie mit der GUI

  1. Navigieren Sie zuCitrix Gateway > Richtlinien > Autorisierung.
  2. Klicken Sie im Detailbereich aufHinzufügen.
  3. 您unterNameeinen Namen für die Richtlinie ein.
  4. Wählen Sie unterAktiondie OptionZulassenoderVerweigernaus.
  5. Klicken Sie unterAusdruckaufAusdruckseditor.
  6. Um mit der Konfiguration des Ausdrucks zu beginnen, klicken Sie aufAuswählen, und wählen Sie die erforderlichen Elemente aus.
  7. Klicken Sie aufFertig, wenn der Ausdruck abgeschlossen ist.
  8. Klicken Sie aufErstellen.

Binden einer Autorisierungsrichtlinie an einen Benutzer über die GUI

  1. Navigieren Sie zuCitrix Gateway > Benutzerverwaltung.
  2. Klicken Sie aufAAA Benutzer.
  3. Wählen Sie im Detailbereich einen Benutzer aus, und klicken Sie dann aufBearbeiten.
  4. Klicken Sie unterErweiterte EinstellungenaufAutorisierungsrichtlinien.
  5. Wählen Sie auf der SeiteRichtlinienbindungeine Richtlinie aus, oder erstellen Sie eine Richtlinie.
  6. Legen Sie unterPrioritätdie Prioritätsnummer fest.
  7. Wählen Sie unterTypden Anforderungstyp aus, und klicken Sie dann aufOK.

Binden einer Autorisierungsrichtlinie an eine Gruppe über die GUI

  1. Navigieren Sie zuCitrix Gateway > Benutzeradministration.
  2. Klicken Sie aufAAA-Gruppen.
  3. Wählen Sie im Detailbereich eine Gruppe aus, und klicken Sie dann aufBearbeiten.
  4. Klicken Sie unterErweiterte EinstellungenaufAutorisierungsrichtlinien.
  5. Wählen Sie auf der SeiteRichtlinienbindungeine Richtlinie aus, oder erstellen Sie eine Richtlinie.
  6. Legen Sie unterPrioritätdie Prioritätsnummer fest.
  7. Wählen Sie unterTypden Anforderungstyp aus, und klicken Sie dann aufOK.

Autorisierung gibt die Netzwerkressourcen an, auf die Benutzer zugreifen können, wenn sie sich bei Citrix Gateway anmelden. Die Standardeinstellung für die Autorisierung besteht darin, den Zugriff auf alle Netzwerkressourcen zu verweigern. Citrix empfiehlt, die globale Standardeinstellung zu verwenden und dann Autorisierungsrichtlinien zu erstellen, um die Netzwerkressourcen zu definieren, auf die Benutzer zugreifen können.

Sie konfigurieren die Autorisierung für Citrix Gateway mit einer Autorisierungsrichtlinie und Ausdrücke. Nachdem Sie eine Autorisierungsrichtlinie erstellt haben, können Sie sie an die Benutzer oder Gruppen binden, die Sie auf der Appliance konfiguriert haben.

Standardmäßige globale Autorisierung

Um die Ressourcen zu definieren, auf die Benutzer im internen Netzwerk zugreifen können, können Sie die globale Standardautorisierung konfigurieren. Sie konfigurieren die globale Autorisierung, indem Sie den Zugriff auf Netzwerkressourcen global im internen Netzwerk zulassen oder verweigern.

Jede von Ihnen erstellte globale Autorisierungsaktion wird auf alle Benutzer angewendet, denen noch keine Autorisierungsrichtlinie zugeordnet ist, entweder direkt oder über eine Gruppe. Eine Benutzer- oder Gruppenautorisierungsrichtlinie überschreibt immer die globale Autorisierungsaktion. Wenn die Standardautorisierungsaktion auf Verweigern festgelegt ist, müssen Sie Autorisierungsrichtlinien für alle Benutzer oder Gruppen anwenden, um Netzwerkressourcen für diese Benutzer oder Gruppen zugänglich zu machen. Diese Anforderung trägt zur Verbesserung der Sicherheit bei.

So legen Sie die globale Standardautorisierung fest:

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte “Configuration” im Navigationsbereich “Citrix Gateway” und klicken Sie auf “Global Settings”.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Wählen Sie auf der Registerkarte Sicherheit neben Standardautorisierungsaktion Zulassen oder Verweigern aus, und klicken Sie auf OK.
Autorisierungsrichtlinien
August 19, 2021
Beitrag von:
C
August 19, 2021
Beitrag von:
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999-Citrix Systems, Inc. All rights reserved.