授权用户访问应用程序资源
您可以控制经过身份验证的用户在应用程序中可以访问的资源。
为此,将授权策略关联到每个用户,可以单独关联,也可以将策略关联到一组用户。授权策略必须指定以下内容:
- 规则。必须授权访问的资源。这可以通过使用基本或高级表达式来指定。
- 行动。是否允许或拒绝对资源的访问。
默认情况下,对应用程序内所有资源的访问为否认致所有用户。但是,您可以将此默认授权操作更改为允许访问所有用户(通过在会话配置文件中设置会话参数或通过设置全局会话参数)。
警告
为了获得最佳的安全性,Citrix建议不要将默认授权操作从DENY更改为ALLOW。相反,建议为需要访问特定资源的用户创建特定的授权策略。
通过命令行配置授权
配置授权策略。
ns-cli-prompt>添加授权策略<名称> <规则> <动作>
将策略与适当的用户或组关联。
将策略绑定到特定用户。
ns-cli-prompt>绑定aaa用户<用户名> -policy< policyname >
将策略绑定到特定组。
ns-cli-prompt>绑定aaa group
-policy < policyname >
使用GUI (Configuration选项卡)配置授权
创建授权策略。
导航到安全> AAA -应用流量>策略>授权,点击添加然后根据需要定义策略。
将策略与适当的用户或组关联。
导航到安全> AAA -应用流量>用户或组,并编辑相关用户或组,使其与授权策略相关联。
授权配置示例
下面是授权用户访问某些应用程序资源的一些示例配置。注意,这些是CLI命令。您可以使用GUI进行类似的配置,但是不能将表达式括在引号(")中。
添加授权策略authzpol1 "HTTP.REQ.URL.SUFFIX.EQ(\"gif\")"允许< !——NeedCopy >
绑定aaa用户user1 -policy authzpol1
添加授权策略authzpol2 "HTTP.REQ.URL.SUFFIX.EQ(\"png\")"否认< !——NeedCopy >
绑定aaa组group1 -policy authzpol2
授权用户访问应用程序资源
复制!
失败了!