在“认证、授权和应用流量审计”中
Citrix ADC 13.1
在Citrix ADC中
在所有产品中
产品文档
在“认证、授权和应用流量审计”中
Citrix ADC 13.1
在Citrix ADC中
在所有产品中
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

会话和流量管理

2021年7月14日
由:
C

会议设置

在配置身份验证、授权和审计概要文件之后,您可以配置会话设置以自定义用户会话。会话设置如下:

  • 会话超时。

    控制用户自动断开连接并必须再次身份验证才能访问您的内部网的时间段。

  • 默认授权设置。

    确定Citrix ADC设备在默认情况下是否允许或拒绝访问没有特定授权策略的内容。

  • 单点登录设置。

    确定Citrix ADC设备是在用户身份验证后自动将用户登录到所有web应用程序,还是将用户传递到web应用程序登录页面以对每个应用程序进行身份验证。

  • 凭据索引设置。

    确定Citrix ADC设备对单点登录使用主身份验证凭据还是辅助身份验证凭据。

要配置会话设置,可以采用两种方法之一。如果希望对不同的用户帐户或组进行不同的设置,可以为每个用户帐户或组创建配置自定义会话设置的配置文件。您还可以创建策略来选择要应用特定概要文件的连接,并将策略绑定到用户或组。还可以将策略绑定到身份验证虚拟服务器,该服务器处理要应用概要文件的流量。

如果希望为所有会话设置相同,或者希望为没有配置特定概要文件和策略的会话自定义默认设置,可以简单地配置全局会话设置。

会议资料

要自定义用户会话,首先要创建会话概要文件。会话概要文件允许您覆盖任何会话参数的全局设置。

请注意

术语“会话概要文件”和“会话操作”是同一个意思。

使用命令行界面创建会话配置文件

在命令提示符下,键入以下命令来创建会话概要文件并验证配置:

add tm sessionAction  [-sessTimeout ] [-defaultAuthorizationAction (ALLOW | DENY)][-SSO (ON | OFF)][-ssoCredential (PRIMARY | SECONDARY)][-ssoDomain ][-httpOnlyCookie (YES | NO)][-persistentCookie (ENABLED | DISABLED)][-persistentCookieValidity ] show tm sessionAction

例子

> add tm sessionAction Session -profile -sessTimeout 30 -defaultAuthorization ALLOW Done > show tm sessionAction Session -profile 1)名称:Session -profile授权动作:ALLOW会话超时:30分钟Done

使用命令行界面修改会话配置文件

在命令提示符下,输入以下命令修改会话概要文件并验证配置:

set tm sessionAction  [-sessTimeout ] [-defaultAuthorizationAction (ALLOW | DENY)][-SSO (ON | OFF)][-ssoCredential (PRIMARY | SECONDARY)][-ssoDomain ][-httpOnlyCookie (YES | NO)][-persistentCookie (ENABLED | DISABLED)][-persistentCookieValidity ] show tm sessionAction

例子

> set tm sessionAction Session -profile -sessTimeout 30 -defaultAuthorization ALLOW Done > show tm sessionAction Session -profile 1)名称:Session -profile授权动作:ALLOW会话超时:30分钟Done

使用命令行界面删除会话配置文件

在命令提示符下,输入以下命令删除会话概要文件:

rm tm sessionAction

使用配置实用程序配置会话概要文件

  1. 导航到安全> AAA -应用流量>会话。
  2. 导航到安全> AAA -应用流量>策略>会话。
  3. 在详细信息窗格中,单击配置文件选项卡。
  4. 配置文件选项卡,执行以下操作之一:
    • 单击,新建会话配置文件添加。
    • 如果需要修改已存在的会话配置文件,选中会话配置文件前的复选框,单击编辑。
  5. 在“创建TM会话概要文件”或“配置TM会话概要文件”对话框中,键入或选择参数值。
    • 名称* -actionname(之前配置的会话操作不能更改)
    • 会话Time-out-sesstimeout
    • Web应用程序单点登录- sso
    • 默认授权动作
    • 凭据Index-ssocredential
    • 单点登录域- ssodomain
    • HTTPOnly Cookie-httpOnlyCookie
    • 启用Persistent Cookie-persistentCookie
    • 持久Cookie有效性- persistentcookievalidity
  6. 点击创建好吧.您创建的会话概要文件将出现在“会话策略和概要文件”窗格中。

会话策略

创建一个或多个会话概要文件后,您将创建会话策略,然后将策略全局绑定或绑定到身份验证虚拟服务器以使其生效。

使用命令行界面创建会话策略

在命令提示符下,输入以下命令创建会话策略并验证配置:

- add tm sessionPolicy    - show tm sessionPolicy

例子

> add tm sessionPolicy session-pol "URL == /*.gif" session-profile Done > show tm sessionPolicy session-pol 1)名称:session-pol规则:URL == '/*.gif'动作:session-profile Done

使用命令行修改会话策略

在命令提示符下,输入以下命令修改会话策略并验证配置:

- set tm sessionPolicy  [-rule ] [-action ] - show tm sessionPolicy

例子

> set tm sessionPolicy session-pol "URL == /*.gif" session-profile Done > show tm sessionPolicy session-pol 1)名称:session-pol规则:URL == '/*.gif'动作:session-profile Done

使用命令行接口全局绑定会话策略

在命令提示符下,输入以下命令全局绑定会话策略并验证配置:

绑定tm global -policyName  [-priority ]

例子

> bind tm global -policyName session-pol Done > show tm sessionPolicy session-pol 1)名称:session-pol规则:URL == '/*.gif'动作:session-profile策略绑定到以下实体1)tm global PRIORITY: 0 Done

使用命令行接口将会话策略绑定到认证虚拟服务器

在命令提示符下,输入以下命令将会话策略绑定到认证虚拟机并验证配置:

绑定认证vserver  -policy  [-priority ]

例子

绑定认证vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000 Done

使用命令行方式解除会话策略与认证虚拟服务器的绑定

在命令提示符下,输入以下命令解除与认证虚拟服务器的会话策略绑定,并验证配置:

取消绑定认证vserver  -policy

例子

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1 Done

使用命令行方式解除全局绑定的会话策略

在命令提示符下,输入以下命令解除全局绑定会话策略的绑定:

解除绑定tm global -policyName

例子

解除绑定tm global -policyName Session-Pol-1 Done

使用命令行方式删除会话策略

首先解除会话策略与全局的绑定,然后在命令提示符处输入以下命令来删除会话策略并验证配置:

rm tm sessionPolicy

例子

rm tm sessionPolicy Session-Pol-1 Done

使用配置实用程序配置和绑定会话策略

  1. 导航到安全> AAA -应用流量>会话
  2. 导航到安全> AAA -应用流量>策略>会话
  3. 在详细信息窗格中,在政策选项卡,执行以下操作之一:
    • 单击,新建会话策略添加
    • 如果需要修改已存在的会话策略,选中会话策略前的复选框,单击编辑
  4. 创建会话策略配置会话策略对话框,输入或选择参数的值。
    • 名称* -policyname(之前配置的会话策略不能更改)
    • 请求配置文件* -actionname
    • 表达式* -rule(首先在表达式文本区域下方最左边的下拉列表中选择表达式类型,然后直接在表达式文本区域中键入表达式,或者单击,这样就可以输入表达式添加打开“添加表达式”对话框,并使用其中的下拉列表来构造表达式。)
  5. 点击创建好吧.控件的详细信息窗格中显示您创建的策略会话策略而且配置文件页面。
  6. 若要全局绑定会话策略,请在详细信息窗格中选择全局绑定行动下拉列表,并填写对话框。
    • 选择要全局绑定的会话策略的名称。
    • 点击好吧
  7. 如果需要将会话策略与认证虚拟服务器绑定,请在左侧导航区单击虚拟服务器,并将该策略添加到策略列表中。
    • 在详细信息窗格中,选择虚拟服务器,然后单击编辑
    • 先进的选择在详细信息展示区右侧,单击政策
    • 选择策略,或单击+图标,添加策略。
    • 优先级列的左侧,修改默认优先级,以确保按照正确的顺序计算策略。
    • 点击好吧.状态栏中出现一条消息,说明策略已成功配置。

全局会话设置

除了创建会话配置文件和会话策略外,还可以配置全局会话设置。当没有显式策略覆盖这些设置时,这些设置控制会话配置。

使用命令行界面配置会话设置

在命令提示符下,输入以下命令来配置全局会话设置并验证配置:

set tm sessionParameter [-sessTimeout ][-defaultAuthorizationAction (ALLOW | DENY)][-SSO (ON | OFF)][-ssoCredential (PRIMARY | SECONDARY)][-ssoDomain ][-httpOnlyCookie (YES | NO)][-persistentCookie (ENABLED | DISABLED)][-persistentCookieValidity ]

例子

> set tm sessionParameter -sessTimeout 30 Done > set tm sessionParameter -defaultAuthorizationAction DENY Done > set tm sessionParameter -SSO ON Done > set tm sessionParameter -ssoCredential PRIMARY Done

使用配置实用程序配置会话设置

  1. 导航到安全> AAA -应用流量
  2. 在详细信息窗格中设置,单击“更改全局设置”。
  3. 全局会话设置对话框,输入或选择参数值。
    • 会话Time-out-sessTimeout
    • 默认授权动作
    • Web应用程序单点登录- sso
    • 凭据Index-ssoCredential
    • 单点登录域- ssodomain
    • HTTPOnly Cookie-httpOnlyCookie
    • 启用Persistent Cookie-persistentCookie
    • Persistent CookieValidity (minutes) -persistentCookieValidity
    • 首页-首页
  4. 点击好吧

流量设置

如果对受保护的应用程序使用基于表单或SAML单点登录(SSO),请在流量设置中配置该功能。SSO允许用户登录一次以访问所有受保护的应用程序,而不是要求他们分别登录以访问每个应用程序。

基于表单的SSO允许您使用自己设计的web表单作为登录方法,而不是一般的弹出窗口。因此,您可以将公司标识和其他希望用户看到的信息放在登录表单上。SAML SSO允许您配置一个Citrix ADC设备或虚拟设备实例,以代表已使用第一个设备进行身份验证的用户向另一个Citrix ADC设备进行身份验证。

要配置这两种类型的SSO,首先要创建表单或SAML SSO配置文件。接下来,创建一个流量配置文件,并将其链接到所创建的SSO配置文件。接下来,创建一个策略,将其链接到流量配置文件。最后,将策略全局绑定或绑定到身份验证虚拟服务器以使配置生效。

交通概况

在创建至少一个表单或SAML sso配置文件之后,接下来必须创建一个流量配置文件。

注意:

在这个特性中,术语“profile”和“action”的意思是一样的。

使用命令行接口创建流量配置文件

在命令提示符下,输入:

add tm trafficAction  [-appTimeout ][-SSO (ON | OFF) [-formSSOAction ]][-persistentCookie (ENABLED | DISABLED)][-InitiateLogout (ON | OFF)]

例子

add tm trafficAction traffic - pro -1 -appTimeout 10 -SSO ON -formSSOAction sso - pro -1

使用命令行界面修改会话配置文件

在命令提示符下,输入:

set tm trafficAction  [-appTimeout ] [-SSO (ON | OFF) [-formSSOAction ]] [-persistentCookie (ENABLED | DISABLED)] [-InitiateLogout (ON | OFF)]

例子

set tm trafficAction traffic - pro -1 -appTimeout 10 -SSO ON -formSSOAction sso - pro -1

使用命令行界面删除会话配置文件

在命令提示符下,输入:

rm tm trafficAction

例子

rm tm trafficAction traffic - pro -1

使用配置实用工具配置流量配置文件

  1. 导航到安全> AAA -应用流量>流量。
  2. 导航到安全> AAA -应用流量>策略>流量。
  3. 在详细信息窗格中,单击Profiles选项卡。
  4. 在Profiles选项卡上,执行以下操作之一:
    • 单击,新建流量配置文件添加。
    • 如果需要修改已创建的流量策略,选中流量策略前的复选框,单击编辑。
  5. 创建流量配置文件配置流量策略对话框中,为参数指定值。
    • 名称* -name(之前配置的会话操作不能更改)
    • AppTimeout-appTimeout
    • 单一Sign-On-SSO
    • 表单SSO Action-formSSOAction
    • SAML SSO Action-samlSSOAction
    • 启用Persistent Cookie-persistentCookie
    • 启动Logout-InitiateLogout
  6. 点击创建好吧.您创建的流量配置文件显示在流量策略、配置文件以及表单SSO配置文件或SAML SSO配置文件窗格中(视情况而定)。

支持AAA.USER和AAA.LOGIN表达式

现在实现了AAA.USER表达式来替换现有的HTTP.REQ.USER表达式。AAA.USER表达式适用于处理非http类型的流量,如SWG (Secure Web Gateway)和RBA (role-based access)机制。user表达式等价于HTTP.REQ.USER表达式。

您可以在各种操作或概要配置中使用该表达式。

在命令提示符下,输入:

add tm trafficAction  [SSO (ON|OFF)] [-userExpression ] add tm trafficAction  [SSO (ON|OFF)] [-passwdExpression ]

例子

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER. user . "NAME" add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER。PASSWD" add tm trafficPolicy tm_pol true tm_act bind lb vserver lb1 -policyName tm_pol -priority 2

注意:

如果您使用HTTP.REQ. user表达式,则会出现警告消息“HTTP.REQ. user”。USER已弃用。使用AAA.USER代替”出现在命令提示符上。

  • AAA.LOGIN表达式。LOGIN表达式表示预登录,也称为登录请求。登录请求可以来自Citrix Gateway、SAML IdP或OAuth身份验证。Citrix ADC将从策略配置中抽象出所需的属性。AAA.LOGIN表达式包含属性,可以根据以下方法获取:
    • AAA.LOGIN.USERNAME。用户名(如果找到)是从当前登录请求中获取的。应用于非登录请求(由身份验证、授权和审计决定)的相同表达式将导致空字符串。
    • AAA.LOGIN.PASSWORD。用户密码(如果找到)是从当前登录请求中获取的。如果找不到密码,则表达式的结果为空字符串。
    • AAA.LOGIN.PASSWORD2。第二个密码(如果找到)是从登录请求中获取的。
    • AAA.LOGIN.DOMAIN。域信息从登录请求中获取。
  • AAA.USER.ATTRIBUTE(“#”)。表达式用于存储用户属性。这里#可以是1到16之间的整数值,也可以是字符串值。您可以使用表达式AAA.USER.ATTRIBUTE(“#”)来使用这些索引值。身份验证、授权和审计模块查找用户会话属性和AAA.USER.ATTRIBUTE(“#”)将查询哈希表中的特定属性。例如,如果属性(“samaccountname”)是集,AAA.USER.ATTRIBUTE(“samaccountname”)将查询哈希映射,并将获取对应的值samaccountname

交通政策

在创建一个或多个表单SSO和流量配置文件之后,您将创建流量策略,然后将这些策略(全局绑定或绑定到流量管理虚拟服务器)以使其生效。

使用命令行方式创建流策略

在命令提示符下,输入:

add tm trafficPolicy

例子

添加tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")"Traffic-Prof-1 < !——NeedCopy >

通过命令行接口修改流策略

在命令提示符下,输入:

set tm trafficPolicy

例子

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")"Traffic-Prof-1 < !——NeedCopy >

通过命令行接口全局绑定流策略

在命令提示符下,输入:

绑定tm global -policyName  [-priority ]

例子

绑定tm global -policyName Traffic-Pol-1

通过命令行接口将流策略绑定到负载均衡虚拟服务器或内容交换虚拟服务器上

在命令提示符下,键入以下命令之一:

bind lb vserver  -policy  [-priority ] bind cs vserver  -policy  [-priority ]

例子

绑定认证vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000

使用命令行方式解除全局绑定的流策略

在命令提示符下,输入:

解除绑定tm global -policyName

例子

解除绑定tm global -policyName Traffic-Pol-1

通过命令行方式解除流策略与负载均衡虚拟服务器或内容交换虚拟服务器的绑定

在命令提示符下,键入以下命令之一:

Unbind lb vserver  -policy  Unbind cs vserver  -policy

例子

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1

使用命令行方式删除流策略

首先解除全局会话策略的绑定,然后在命令提示符处输入:

rm tm trafficPolicy

例子

rm tm trafficPolicy Traffic-Pol-1

通过配置实用工具配置和绑定流策略

  1. 导航到安全> AAA -应用流量>流量。
  2. 导航到安全> AAA -应用流量>策略>流量。
  3. 在详细信息窗格中,执行以下操作之一:
    • 单击,新建会话策略添加。
    • 如果需要修改已存在的会话策略,选中会话策略前的复选框,单击编辑。
  4. 创建流策略配置流策略对话框中,为参数指定值。
    • 名称* -policyName(之前配置的会话策略不能更改)
    • 概要文件* -actionName
    • 表达式规则(输入表达式时,首先在表达式文本区域下方最左边的下拉列表中选择表达式类型,然后直接在表达式文本区域中输入表达式,或者单击“添加”打开“添加表达式”对话框,并使用其中的下拉列表来构造表达式。)
  5. 点击创建好吧.控件的详细信息窗格中显示您创建的策略会话策略而且配置文件页面。

表单SSO概要

要启用和配置基于表单的SSO,首先要创建SSO配置文件。

请注意

  • 如果表单被定制为包含Javascript,那么基于表单的单点登录将不起作用。
  • 在这个特性中,术语“profile”和“action”的意思是一样的。

使用命令行接口创建表单SSO概要

在命令提示符下,输入:

add tm formSSOAction  -actionURL  -userField  -passwdField  -ssoSuccessRule  [-nameValuePair ] [-responsesize ][-nvtype (STATIC | DYNAMIC)][-submitMethod (GET | POST)] show tm formSSOAction []

例子

add tm formSSOAction SSO-Prof-1 -actionURL "/ login .php" -userField "loginID" -passwdField "passwd" -nameValuePair "loginID passwd" -responsesize "9096" -ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"-nvtype STATIC -submitMethod GET -sessTimeout 10 -defaultAuthorizationAction ALLOW

使用命令行接口修改表单单点登录

在命令提示符下,输入:

set tm formSSOAction  -actionURL  -userField  -passwdField  -ssoSuccessRule  [-nameValuePair ] [-responsesize ][-nvtype (STATIC | DYNAMIC)][-submitMethod (GET | POST)]

例子

set tm formSSOAction SSO-Prof-1 -actionURL "/ login .php" -userField "loginID" -passwdField "passwd" -ssoSuccessRule "HTTP.RES.HEADER(" set - cookie ").CONTAINS("LogonID")"-nameValuePair "loginID passwd" -responsesize "9096" -nvtype STATIC -submitMethod GET -sessTimeout 10 -defaultAuthorizationAction ALLOW

使用命令行接口删除表单SSO配置文件

在命令提示符下,输入:

rm tm formSSOAction

例子

rm tm sessionAction sso -教授-1

使用配置实用工具配置表单SSO概要文件

  1. 导航到安全> AAA -应用流量>策略>流量
  2. 在详细信息窗格中,单击表单SSO概要选项卡。
  3. 在Form SSO Profiles选项卡上,执行以下操作之一:
    • 若要创建新的表单SSO配置文件,请单击添加
    • 若要修改现有表单SSO配置文件,请选择该配置文件,然后单击Edit。
  4. 创建表单SSO配置文件配置表单SSO配置文件对话框,为参数指定值:
    • 名称* -name(之前配置的会话操作不能更改)
    • 动作URL * -actionURL
    • 用户名字段* -userField
    • 密码字段* -passField
    • 表达式* -ssoSuccessRule
    • 参数名称参数值Pair-nameValuePair
    • 响应Size-responsesize
    • Extraction-nvtype
    • 提交Method-submitMethod < / span >
  5. 点击创建好吧,然后按关闭.所创建的表单SSO配置文件将出现在交通政策配置文件,表单SSO概要窗格。

SAML SSO概要

要启用和配置基于SAML的SSO,首先要创建一个SAML SSO配置文件。

使用命令行接口创建SAML SSO概要

在命令提示符下,输入:

add tm samlSSOProfile  -samlSigningCertName  -assertionConsumerServiceURL  -relaystateRule  -sendPassword (ON | OFF) [-samlIssuerName ]

例子

add tm samlSSOProfile saml- sso -教授-1 -samlSigningCertName "Example, Inc."-assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true" -sendPassword "ON" -samlIssuerName "Example, Inc."<!--NeedCopy-->

使用命令行接口修改SAML单点登录

在命令提示符下,输入:

set tm samlSSOProfile  -samlSigningCertName  -assertionConsumerServiceURL  -relaystateRule  -sendPassword (ON | OFF) [-samlIssuerName ]

例子

set tm samlSSOProfile saml- sso -教授-1 -samlSigningCertName "Example, Inc."-assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true" -sendPassword "ON" -samlIssuerName "Example, Inc."<!--NeedCopy-->

使用命令行接口删除SAML SSO配置文件

在命令提示符下,输入:

rm tm samlSSOProfile

例子

rm tm sessionAction saml- sso -教授-1

使用配置实用程序配置SAML SSO概要文件

  1. 导航到安全> AAA -应用流量>策略>流量。
  2. 在详细信息窗格中,单击SAML SSO概要选项卡。
  3. SAML SSO概要选项卡,执行以下操作之一:
    • 若要创建新的SAML SSO配置文件,请单击添加。
    • 若要修改已存在的SAML SSO配置文件,请选中该配置文件,然后单击OpenEdit
  4. 创建SAML SSO概要或者是配置SAML SSO配置文件对话框中,设置如下参数:
    • 名称*
    • 签署证书名称*
    • ACS URL *
    • 中继状态规则*
    • 发送密码
    • 发行人的名字
  5. 点击创建好吧,然后按关闭。您创建的SAML SSO概要出现在“流量策略”、“概要”和“SAML SSO概要”窗格中。

OWA 2010会话超时

您现在可以在指定的不活动时间后强制OWA 2010连接超时。OWA向服务器发送重复的keepalive请求以防止超时。保持连接打开可能会干扰单点登录。

使用命令行界面强制OWA 2010在指定时间后超时

在命令提示符下,输入以下命令:

add tm trafficAction  [-forcedTimeout  -forcedTimeoutVal ]

对于,为您的流量策略替换一个名称。对于,替换为启动强制超时的分钟数。对于,替换如下值之一:

-开始—如果定时器尚未启动,则启动强制超时定时器。如果运行计时器存在,则无效。-停止—停止正在运行的定时器。如果没有找到运行计时器,则无效。-重置—重启正在运行的定时器。如果没有找到运行计时器,则启动一个计时器,就像使用了START选项一样。

add tm trafficPolicy

对于,为您的流量策略替换一个名称。对于,替换Citrix ADC高级策略中的一条规则。

绑定lb vserver  -policyName  -priority

请替换为认证授权审计流量管理虚拟服务器的名称。对于,替换为指定策略优先级的整数。

例子

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10 add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
会话和流量管理
2021年7月14日
由:
C
2021年7月14日
由:
C

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统公司版权所有。