用户和组
配置身份验证、授权和审核基本设置后,将创建用户和组。首先为通过Citrix ADC设备进行身份验证的每个人创建一个用户帐户。如果您使用的是由Citrix ADC设备本身控制的本地身份验证,则可以创建本地用户帐户并为每个帐户分配密码。
如果使用外部身份验证服务器,还可以在Citrix ADC设备上创建用户帐户。但是,在这种情况下,每个用户帐户必须与外部身份验证服务器上该用户的帐户完全匹配,并且您不为在Citrix ADC上创建的用户帐户分配密码。外部身份验证服务器管理使用外部身份验证服务器进行身份验证的用户的密码。
如果您正在使用一个外部认证服务器,您仍然可以创建本地用户帐户在Citrix ADC电器,如果举个例子,你想允许临时用户(如游客)登录但是不想为这些用户身份验证服务器上创建条目。您将为每个本地用户帐户分配密码,就像对所有用户帐户使用本地身份验证一样。
每个用户帐户必须绑定到身份验证和授权的策略。为简化此任务,您可以创建一个或多个组并将用户帐户分配给它们。然后,您可以将策略绑定到组而不是单个用户帐户。
使用组配置策略
配置组后,可以使用组对话框应用指定用户访问权限的策略和设置。如果使用本地认证,则创建用户并将其添加到Citrix Gateway上配置的组中。然后用户继承该组的设置。
您可以为一组用户配置以下策略或设置组对话框:
- 用户
- 授权政策
- 审计政策
- 会话策略
- 交通政策
- 书签
- Intranet应用程序
- 局域网IP地址
在配置中,用户可能属于多个组。此外,每个组可能有一个或多个绑定会话策略,并配置了不同的参数。属于多个组的用户将继承分配给该用户所属的所有组的会话策略。要确保哪个会话策略评估优先于其他会话策略评估,必须设置会话策略的优先级。
例如,您的group1绑定了一个使用主页www.homepage1.com配置的会话策略。Group2与配置了主页www.homepage2.com的会话策略绑定。当这些策略绑定到没有优先级编号或具有相同优先级编号的各个组时,属于这两个组的用户显示的主页取决于首先处理哪个策略。通过为具有主页www.homepage1.com的会话策略设置一个较低的优先级编号(该编号具有较高的优先级),可以确保属于这两个组的用户都能接收到主页www.homepage1.com。
如果会话策略没有分配或具有相同优先级编号的优先级编号,则按以下顺序评估优先级:
- 用户
- 组
- 虚拟服务器
- 全球
如果策略绑定到同一级别,但没有优先级编号,或者策略具有相同的优先级编号,则评估顺序按照策略绑定顺序。首先绑定到某一级别的策略优先于稍后绑定的策略。
如果一个用户绑定到多个组,每个组都绑定了IIP,那么用户可以从绑定的组中获得免费IP。
创建用户和组
通过GUI配置本地用户的认证、授权和审计
- 引导到安全> AAA -应用流量>用户从Citrix网关,展开Citrix Gateway>用户管理,然后单击AAA级用户.
在详细信息窗格中,执行下列操作之一:
- 单击,创建新用户添加.
- 如果需要修改已存在的用户帐号,请选中该用户帐号,单击打开.
- 在里面创建AAA级用户对话框中用户名文本框中,键入用户的名称。
- 如果创建的是本地认证用户,则清空外部身份验证复选框并提供用户用于登录的本地密码。
- 点击创建或者好的,然后单击关.状态栏中将出现一条消息,说明用户已成功配置。
配置本地组的身份验证、授权和审计,并使用配置实用程序向本地组添加用户
- 引导到安全> AAA - 应用程序流量>组从Citrix网关,展开Citrix Gateway>用户管理,然后单击AAA组.
- 在详细信息窗格中,执行下列操作之一:
- 要创建新组,请单击添加.
- 如果需要修改已创建的分组,请选中该分组,单击编辑.
- 如果您正在创建一个新组,请在创建AAA组对话框中组名称在文本框中,键入组的名称。
在里面先进的右侧区域,单击AAA级用户.
- 要将用户添加到组,请选择用户,然后单击添加.
- 要从组中删除用户,请选择用户,然后单击删除.
- 要创建新用户帐户并将其添加到组中,请单击加图标,然后按照“使用配置实用程序配置身份验证、授权和审核本地用户”中的说明进行操作
- 点击创建或者好的.中显示您创建的组AAA组页面。
通过GUI删除组
您还可以在Citrix Gateway中删除用户组。
- 引导到安全> AAA - 应用程序流量>组从Citrix Gateway, expandCitrix网关>用户管理,然后点击AAA组.在详细信息窗格中,选择组,然后单击Remove。
该任务指导管理员通过CLI配置本地用户的认证、授权和审计功能
在命令提示下,键入以下命令:
添加aaa组绑定aaa组-用户名<--需要复制--> 例子:
添加AAA组组-2绑定AAA组Group-2 -Username用户-2 <! - CentCopy - >使用命令行界面删除验证,授权和审核组的用户
在命令提示符处,为绑定到组的每个用户帐户输入以下命令,解除用户与组的绑定:
解除aaa组 -username * * * *的例子:< !——NeedCopy >UNBIND AAA组GROUP-HR -USERNAME用户-HR-1
###使用命令行界面删除身份验证、授权和审核组首先从组中删除所有用户。然后,在命令提示下,键入以下命令以删除Citrix ADC AAA组并验证配置:<--需要复制-->RM AAA集团
* * * *的例子:< !——NeedCopy >rm aaa集团人力资源部
>**注意**>>如果用户名已添加而没有域,则无法添加具有域的用户名。如果先添加带域的用户名,然后添加不带域的相同用户名,则Citrix ADC设备会将用户名添加到用户列表中。下面的示例显示,如果在没有域的情况下添加相同的用户名,则不允许在域中添加用户名。<--需要复制-->添加AAA用户U47985 Dept Show AAA用户1)用户名:U47985完成添加AAA用户U47985@domain.com错误:用户已存在```
下面的示例显示,如果先添加带域的用户名,然后添加相同的不带域的用户名,则Citrix ADC设备将用户名添加到用户列表中。
>添加AAA用户U47985@domain.com完成>添加AAA用户U47985 Done> Sh AAA用户1)用户名:U47985@domain.com 2)用户名:U47985```