授权策略
配置授权策略时,可以设置允许或禁止访问内部网络中的网络资源。例如,允许用户访问10.3.3.0网络,则使用如下表达式:
CLIENT.IP.DST.IN_SUBNET (10.3.0.0/16)
授权策略应用于用户和组。当用户通过认证后,Citrix Gateway通过从RADIUS、LDAP或TACACS+服务器获取用户的组信息来执行组授权检查。如果组信息对用户可用,Citrix Gateway将检查组允许的网络资源。
为了控制用户可以访问哪些资源,必须创建授权策略。如果不需要创建授权策略,可以配置缺省全局授权。
如果在授权策略中创建了拒绝访问文件路径的表达式,则只能使用子目录路径,而不能使用根目录。例如,使用fs。路径包含“\\dir1\\dir2”而不是fs。路径包含“\\rootdir\\dir1\\dir2”。如果在本例中使用第二个版本,则策略失败。
配置授权策略后,将其绑定到用户或组。
默认情况下,首先根据绑定到虚拟服务器的策略验证授权策略,然后根据全局绑定的策略验证授权策略。如果全局绑定策略,并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级编号。优先级从0开始。优先级数字越低,策略优先级越高。
例如,如果全局认证策略的优先级为1,用户的优先级为2,则优先应用全局认证策略。
重要的是:
- 经典授权策略仅适用于TCP流量。
高级授权策略可以应用于所有类型的流量(TCP/UDP/ICMP/DNS)。
如果需要对UDP/ICMP/DNS流量应用策略,则策略必须分别绑定在UDP_REQUEST、ICMP_REQUEST和DNS_REQUEST类型。
- 在绑定时,如果没有显式地提到“type”或将“type”设置为REQUEST,则行为与之前的构建没有变化,即这些策略仅应用于TCP流量。
- 在UDP_REQUEST上绑定的策略不应用于DNS流量。对于DNS,策略必须显式绑定到DNS_REQUEST TCP_DNS类似于其他TCP请求。
有关高级授权策略的详细信息,请参见文章https://support.citrix.com/article/CTX232237.
配置并绑定授权策略
通过图形化界面配置授权策略
- 导航到Citrix Gateway >策略>授权。
- 在详细信息窗格中,单击添加.
- 在的名字,键入策略的名称。
- 在行动中,选择允许或否认.
- 在表达式,点击表达式编辑器.
- 若要开始配置表达式,请单击选择选择必要的元素。
- 点击完成当你的表情完整。
- 点击创建.
通过GUI将授权策略绑定到用户
- 导航到Citrix Gateway >用户管理。
- 点击AAA级用户.
- 在详细信息窗格中,选择用户,然后单击编辑.
- 在高级设置,点击授权策略.
- 在政策约束力页,选择策略或创建策略。
- 在优先级,设置优先级。
- 在类型,选择请求类型,然后单击好吧.
通过GUI将授权策略绑定到组
- 导航到Citrix Gateway >用户管理.
- 点击AAA级组.
- 在详细信息窗格中,选择分组,单击编辑.
- 在高级设置,点击授权策略.
- 在政策约束力页,选择策略或创建策略。
- 在优先级,设置优先级。
- 在类型,选择请求类型,然后单击好吧.
授权指定用户在登录到Citrix Gateway时可以访问的网络资源。授权的默认设置是拒绝访问所有网络资源。Citrix建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。
您可以使用授权策略和表达式在Citrix Gateway上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。
默认全局授权
当需要定义用户在内部网络中可以访问的资源时,可以配置缺省全局授权。通过允许或拒绝对内部网络中的网络资源进行全局访问,可以配置全局授权。
您创建的任何全局授权操作都将应用于尚未与之关联授权策略的所有用户,这些用户可以直接关联,也可以通过组关联。用户或组授权策略总是覆盖全局授权操作。如果默认授权动作为“禁止”,则必须对所有用户或组应用授权策略,使这些用户或组可以访问网络资源。这一需求有助于提高安全性。
设置默认全局授权。
- 在配置实用工具中,在导航窗格中的configuration选项卡上,展开Citrix Gateway,然后单击Global Settings。
- 在详细信息窗格中,在“设置”下,单击“更改全局设置”。
- 在“安全”选项卡上,在“默认授权操作”旁边,选择“允许”或“拒绝”,然后单击“确定”。