身份验证、授权和审计是如何工作的

身份验证、授权和审计为分布式internet环境提供了安全性，允许具有适当凭证的任何客户机从internet上的任何地方安全地连接到受保护的应用程序服务器。该特性集成了身份验证、授权和审计这三个安全特性。身份验证使Citrix ADC能够在本地或通过第三方身份验证服务器验证客户端的凭据，并且只允许经过批准的用户访问受保护的服务器。授权使ADC能够验证允许每个用户访问受保护服务器上的哪些内容。审计使ADC能够在受保护的服务器上保存每个用户活动的记录。

要了解身份验证、授权和审计如何在分布式环境中工作，请考虑一个具有内部网的组织，其员工可以在办公室、家中和旅行时访问该组织。内网内容属于机密内容，需要安全访问。任何想要访问企业内网的用户都必须拥有有效的用户名和密码。为满足这些要求，艺发局采取以下措施:

• 当用户未登录访问内网时，将用户重定向到登录页面。

• 收集用户的凭据，将它们传递给身份验证服务器，并将它们缓存到可通过LDAP访问的目录中。有关更多信息，请参见确定LDAP目录中的属性．

• 在将用户的请求发送到应用服务器之前，验证用户是否被授权访问特定的内网内容。
• 维护会话超时时间，在此时间之后，用户必须再次进行身份验证才能重新获得对内网的访问。(超时时间可配置)
• 在审计日志中记录用户访问，包括无效的登录尝试。

配置认证授权和审计策略

在设置用户和组之后，接下来要配置身份验证策略、授权策略和审计策略，以定义允许哪些用户访问您的内网，允许每个用户或组访问哪些资源，以及将在审计日志中保留何种级别的身份验证、授权和审计详细信息。身份验证策略定义了用户尝试登录时应用的身份验证类型。如果采用外部认证，策略中还指定了外部认证服务器。授权策略指定用户和组登录后可以访问的网络资源。审计策略定义了审计日志的类型和位置。

您必须绑定每个策略才能使其生效。您可以将身份验证策略绑定到身份验证虚拟服务器，将授权策略绑定到一个或多个用户帐户或组，并将全局审计策略和审计策略绑定到一个或多个用户帐户或组。

当您绑定策略时，您将为其分配优先级。优先级决定了评估您定义的策略的顺序。可以将优先级设置为任何正整数。在Citrix ADC操作系统中，策略优先级以相反的顺序工作:数字越高，优先级越低。例如，如果有三个优先级分别为10、100和1000的策略，则优先级为10的策略首先执行，然后执行优先级为100的策略，最后执行优先级为1000的策略。身份验证、授权和审计特性只实现请求匹配的每种策略类型中的第一个策略，而不实现请求也可能匹配的任何该类型的其他策略，因此策略优先级对于获得您想要的结果非常重要。

您可以为自己留下足够的空间，以任何顺序添加其他策略，并仍然按照您想要的顺序设置它们，在绑定策略时，在每个策略之间设置优先级，间隔为50或100。然后，您可以随时添加其他策略，而不必重新分配现有策略的优先级。

有关Citrix ADC设备上绑定策略的其他信息，请参见Citrix ADC产品文档．

配置No_Auth策略绕过部分流量

当流量管理虚拟服务器启用基于401的认证时，可以配置No_Auth策略绕过某些认证流量。对于此类流量，必须绑定“No_Auth”策略。

使用实例通过CLI配置No_Auth策略绕过部分流量

在命令提示符下，输入:

添加认证策略 -rule  -action  

例子:

添加认证策略ldap -rule ldapAct1 -action No_Auth