用户和组
在配置了身份验证、授权和审计基本设置之后,您可以创建用户和组。首先为通过Citrix ADC设备进行身份验证的每个人创建一个用户帐户。如果使用由Citrix ADC设备本身控制的本地身份验证,则需要创建本地用户帐户并为每个帐户分配密码。
如果使用外部身份验证服务器,还需要在Citrix ADC设备上创建用户帐户。但是,在这种情况下,每个用户帐户必须与外部身份验证服务器上该用户的帐户完全匹配,并且不需要为在Citrix ADC上创建的用户帐户分配密码。外部认证服务器管理通过外部认证服务器进行认证的用户的密码。
如果您正在使用外部身份验证服务器,您仍然可以在Citrix ADC设备上创建本地用户帐户,例如,如果您希望允许临时用户(如访问者)登录,但不希望在身份验证服务器上为这些用户创建条目。为每个本地用户帐户分配一个密码,就像对所有用户帐户使用本地身份验证一样。
每个用户帐户必须绑定策略进行身份验证和授权。为了简化此任务,您可以创建一个或多个组,并为其分配用户帐户。然后可以将策略绑定到组,而不是单个用户帐户。
带组配置策略
配置组后,可以使用集团对话框应用指定用户访问权限的策略和设置。如果使用本地身份验证,则创建用户并将其添加到在Citrix Gateway上配置的组中。然后,用户继承该组的设置。
中的一组用户可以配置以下策略或设置集团对话框:
- 用户
- 授权策略
- 审计政策
- 会话策略
- 交通政策
- 书签
- 内部网应用程序
- 内网IP地址
在您的配置中,可能有属于多个组的用户。此外,每个组可能有一个或多个绑定会话策略,配置不同的参数。当用户属于多个组时,将继承该用户所属所有组的会话策略。为了确保哪个会话策略的评估优先于其他会话策略,必须设置会话策略的优先级。
例如,您有一个group1,它绑定了一个配置了主页www.homepage1.com的会话策略。Group2绑定了一个配置主页www.homepage2.com的会话策略。当将这些策略绑定到各自没有优先级号或具有相同优先级号的组时,同时属于这两个组的用户所看到的主页取决于先处理哪个策略。通过设置首页为www.homepage1.com的会话策略的优先级越低,优先级越高,可以保证同时属于这两个组的用户都能获得首页www.homepage1.com。
如果会话策略没有分配优先级号或具有相同的优先级号,则按以下顺序计算优先级:
- 用户
- 集团
- 虚拟服务器
- 全球
如果策略绑定到同一级别,没有优先级号,或者策略具有相同的优先级号,则按照策略绑定顺序进行评估。先绑定到某个级别的策略优先于后绑定的策略。
如果我们将一个用户绑定到多个组,每个组都绑定了IIP,则该用户可以从任何绑定的组中获得免费IP。
创建用户和组
通过GUI配置本地用户的认证、授权和审计
- 导航到“安全> AAA -应用流量>用户”从思杰网关,扩展Citrix网关>用户管理,然后点击AAA级用户。
在详细信息窗格中,执行以下操作之一:
- 要创建一个新的用户帐户,请单击添加。
- 若要修改已存在的用户帐户,请选中该用户帐户,然后单击开放。
- 在创建AAA用户对话框中用户名文本框中,键入用户的名称。
- 如果创建的是本地认证的用户帐户,请清除外部认证复选框,并提供用户用于登录的本地密码。
- 点击创建或好吧,然后点击关闭。状态栏中出现一条消息,说明用户已配置成功。
使用配置实用工具配置身份验证、授权和审计本地组,并向其中添加用户
- 导航到安全> AAA -应用流量>组从思杰网关,扩展Citrix网关>用户管理,然后点击AAA级组。
- 在详细信息窗格中,执行以下操作之一:
- 新建分组,单击添加。
- 如果需要修改已创建的分组,请选中待修改的分组,单击编辑。
- 如果要创建一个新组,在创建AAA组对话框中组名称文本框中,键入组的名称。
在先进的在右侧区域,单击AAA级用户。
- 如果需要将用户添加到组中,请选中该用户,单击添加。
- 若要从组中删除用户,请选中该用户,然后单击删除。
- 要创建一个新的用户帐户并将其添加到组,请单击+图标,然后按照“使用配置实用程序配置身份验证、授权和审计本地用户”中的说明操作。
- 点击创建或好吧。创建的组将显示在AAA级组页面。
通过GUI界面删除组
您也可以在Citrix Gateway中删除用户组。
- 导航到安全> AAA -应用流量>组从思杰网关,扩展思杰网关>用户管理然后点击AAA级组。在详细信息窗格中,选择该组,然后单击“删除”。
该任务指导系统管理员通过CLI配置本地用户的认证、授权和审计
在命令提示符下,输入以下命令:
添加aaa组绑定aaa组 -username 例子:
添加aaa组group-2绑定aaa组group-2 -username user-2 使用命令行界面从身份验证、授权和审计组中删除用户
在命令提示符下,通过为绑定到组的每个用户帐户输入以下命令来解除用户与组的绑定:
解除aaa组 -username * * * *的例子:< !——NeedCopy >去绑定aaa组group-hr -username user-hr-1
###通过命令行界面删除认证、授权和审计组首先从组中删除所有用户。然后,在命令提示符下,键入以下命令以删除Citrix ADC AAA组并验证配置:Rm aaa组
* * * *的例子:< !——NeedCopy >Rm aaa组group-hr
> **注** > >如果用户名已经添加,但没有添加域,则不能添加带域的用户名。如果首先添加带域的用户名,然后添加不带域的相同用户名,则Citrix ADC设备将该用户名添加到用户列表中。如果用户名中不带域,则不允许添加带域的用户名。<!——NeedCopy >添加aaa用户:u47985添加aaa用户:u47985添加aaa用户u47985@domain.com错误:用户已经存在' ' '
下面的示例显示,如果首先添加带域的用户名,然后添加不带域的相同用户名,则Citrix ADC设备将该用户名添加到用户列表中。
> add aaa用户u47985@domain.com完成> add aaa用户u47985完成> sh aaa用户1)UserName: u47985@domain.com 2) UserName: u47985' ' '