用户、用户组和命令策略
您必须首先定义一个具有帐户的用户,然后将所有用户组织到组中。您可以创建命令策略,也可以使用内置的命令策略来规范用户对命令的访问。
注意:
如果您希望了解更多关于将用户和用户组配置为Citrix ADC身份验证和授权设置的流量管理的一部分的信息,请参阅配置用户和组话题
还可以为用户自定义命令行提示。可以在用户配置、用户组配置和全局系统配置设置中定义提示。为用户显示的提示按以下优先顺序排列:
- 显示用户配置中定义的提示。
- 显示用户组的组配置中定义的提示符。
- 显示系统全局配置设置中定义的提示。
现在可以为系统用户的非活动CLI会话指定超时值。如果用户的CLI会话空闲时间超过超时值,Citrix ADC设备将终止连接。可以在用户配置、用户组配置或全局系统配置设置中定义超时。用户非活动CLI会话的超时按以下优先顺序确定:
- 用户配置。
- 用户组的组配置。
- 全局系统配置设置。
Citrix ADC根管理员可以为系统用户配置最大并发会话限制。通过限制该限制,可以减少打开的连接数并提高服务器性能。只要CLI计数在配置的限制内,并发用户就可以登录GUI任意次数。但是,如果CLI会话数达到配置的限制,用户将无法再登录到GUI。例如,如果并发会话数配置为20,则并发用户可以登录到19个CLI会话。但是如果用户登录到20日在CLI会话中,任何登录GUI、CLI或NITRO的尝试都会导致错误消息((错误:超出CFE的连接限制)。
注意:
默认情况下,并发会话数配置为20,最大并发会话数配置为40。
配置用户帐户
要配置用户帐户,只需指定用户名和密码。您可以随时更改密码和删除用户帐户。
注意:
密码中的所有字符都不被接受。但是,如果您在引号中键入字符,则可以使用它。
另外,字符串的最大长度不能超过127个字符。
使用命令行界面创建用户帐户
在命令提示符下,输入以下命令来创建用户帐户并验证配置:
添加系统用户[-externalAuth(ENABLED | DISABLED)][-promptString ][-timeout\ ][-logging(ENABLED | DISABLED)][-maxsession show system user
外部用户可以配置“logging”参数,以使用web日志或审计日志机制收集外部日志。如果该参数已启用,则审核客户端将使用Citrix ADC设备对自身进行身份验证,以收集日志。
例子:
添加系统用户johnd - promptstring user-%u-at-%T
Enter password: Confirm password: > show system user johnd user name: john Timeout:900 Timeout Inherited From: Global External Authentication: ENABLED Logging: DISABLED Maximum Client Sessions: 20 有关参数描述,请参阅身份验证和授权用户命令参考话题
使用Citrix ADC GUI配置用户帐号
- 导航到系统>用户管理>使用者,并创建用户。
- 在详细信息窗格中,单击添加创建系统用户。
在创建系统组页面,设置以下参数:
- 用户名。用户组名。
- CLI提示符。您希望为CLI接口访问设置的提示。
- 空闲会话超时(秒)。设置会话超时和关闭之前用户可以处于非活动状态的时间量。
- 最大会话。设置用户可以尝试的最大会话数。
- 启用日志记录权限。启用用户的日志记录权限。
- 启用外部身份验证。如果要使用外部身份验证服务器对用户进行身份验证,请选择该选项。
- 允许管理界面。选择用户组有权访问的Citrix ADC接口。
- 命令策略。将命令策略绑定到用户组。
- 分区。将分区绑定到用户组。
- 点击创建和关.
配置用户组
配置用户组后,您可以轻松地向组中的每个人授予相同的访问权限。要配置组,请创建该组并将用户绑定到该组。您可以将每个用户帐户绑定到多个组。将用户帐户绑定到多个组可以在应用命令策略时提供更大的灵活性。
使用命令行界面创建用户组的步骤
在命令提示下,键入以下命令以创建用户组并验证配置:
添加系统组[-promptString ] [-timeout ] show system group
例子:
>添加系统组管理器-PromptString组 - 管理器 - %h
该任务指导管理员通过CLI将用户帐号与组绑定
在命令提示符下,键入以下命令以将用户帐户绑定到组并验证配置:
绑定系统组-用户名 show system group
例子:
>绑定系统组Managers -userName user1
通过Citrix ADC图形界面配置用户组
- 导航到系统>用户管理>组,创建用户组。
- 在详细信息窗格中,单击添加创建系统用户组。
在创建系统组页面,设置以下参数:
- 组名。用户组的名称。
- CLI提示符。您希望为CLI接口访问设置的提示。
- 空闲会话超时(秒)。设置会话超时和关闭之前用户可以处于非活动状态的时间量。
- 允许管理界面。选择用户组有权访问的Citrix ADC接口。
- 会员。将用户帐户添加到组。
- 命令策略。将命令策略绑定到用户组。
- 分区。将分区绑定到用户组。
- 点击创建和关.
注意:
要向组中添加成员,请在“成员”部分中单击添加.从“可用”列表中选择用户,并将用户添加到“已配置”列表中。
配置命令策略
命令策略规范了哪些命令、命令组、虚拟服务器以及用户和用户组可以使用的其他实体。
该设备提供一组内置命令策略,您可以配置自定义策略。要应用策略,可以将它们绑定到用户或组。
以下是定义和应用命令策略时要记住的关键点。
- 您无法创建全局命令策略。必须将命令策略直接绑定到设备上的用户和组。
- 具有关联命令策略的用户或组符合默认(拒绝 - 全部)命令策略,因此在正确的命令策略绑定到帐户之前,无法运行任何配置命令。
- 所有用户都继承其所属组的策略。
- 当将命令策略绑定到用户帐户或组帐户时,必须为该命令策略分配优先级。这使设备能够确定当两个或多个冲突的策略应用于同一用户或组时,哪个策略具有优先级。
- 以下命令默认情况下对任何用户可用,不受任何指定命令的影响:
- help、show CLI attribute、set CLI prompt、clear CLI prompt、show CLI prompt、alias、unalias、history、quit、exit、whoami、config、set CLI mode、unset CLI mode、show CLI mode。
下表描述了内置策略。
| 政策的名字 | 允许 |
|---|---|
| 只读 | 只读访问除show ns runningConfig、show ns ns.conf和Citrix ADC命令组的show命令外的所有show命令。 |
| 操作符 | 只读访问和访问命令以启用和禁用服务和服务器。 |
| 网络 | 完全访问权限,除了set和unset SSL命令,show ns ns.conf、show ns runningConfig和show gslb runningConfig命令。 |
| 系统管理员 | [包含在Citrix ADC 12.0及更高版本]系统管理员在设备上的访问权限低于超级用户。sysadmin用户可以执行所有Citrix ADC操作,但有以下例外:不能访问Citrix ADC shell,不能执行用户配置,不能执行分区配置,以及sysadmin命令策略中规定的其他配置。 |
| 超级用户 | 完全访问。与nsroot用户相同的权限。 |
创建自定义命令策略
正则表达式支持提供给有资源维护更多定制表达式的用户,以及那些需要正则表达式提供的灵活性的部署用户。对于大多数用户来说,内置的命令策略就足够了。需要更多控制级别但不熟悉正则表达式的用户可能希望仅使用简单表达式(如本节提供的示例中的表达式)以保持策略的可读性。
当您使用正则表达式创建命令策略时,请记住以下几点。
- 使用正则表达式定义受命令策略影响的命令时,命令必须用双引号括起来。例如,要创建包含所有以show开头的命令的命令策略,输入以下命令:
- “^显示*美元”。
- 要创建包含以rm开头的所有命令的命令策略,请键入以下命令:
- “^ rm。* $”
- 在命令策略中使用的正则表达式不区分大小写。
下表列出了命令策略的正则表达式示例:
| 命令规格 | 匹配这些命令 |
|---|---|
| “^ rm \ s + *美元”。 | 所有删除操作,因为所有删除操作都以RM字符串从RM字符串开始,然后是一个空格和更多参数,例如命令组,命令对象类型和参数。 |
| “^显示\ s + *美元”。 | 所有显示命令,因为所有显示操作都以显示字符串开头,后跟空格和更多参数,如命令组、命令对象类型和参数。 |
| “^壳牌美元” | 单独使用shell命令,但不与任何其他参数(如命令组、命令对象类型和参数)组合使用。 |
| “^add\s+vserver\s+.*$” | 所有这些操作都创建虚拟服务器操作,其中包括添加虚拟服务器命令,后跟一个空格和更多参数,如命令组、命令对象类型和参数。 |
| “^ \ s +(磅\ s + vserver) \ s + *”。 | 所有创建lb虚拟服务器操作,包括添加lb虚拟服务器命令,后跟一个空间和更多的参数,如命令组、命令对象类型和参数。 |
关于内置命令策略的信息,请参见表内置命令政策表格
使用命令行接口创建命令策略
在命令提示符下,键入以下命令以创建命令策略并验证配置:
添加系统cmdPolicyshow system cmdPolicy
例子:
add system cmdPolicy USER-POLICY ALLOW (\ server\)|(\ service(Group)*\)|(\ vserver\)|(\ policy\)|(\ policylabel\)|(\ limitIdentifier\)|(^show\ (?!(系统| ns \ (ns.conf | runningConfig)))) |(拯救)|(统计\。*服务公司)
使用Citrix ADC GUI配置命令策略
- 导航到系统>用户管理>命令的政策.
- 在详细信息窗格中,单击添加创建新的命令策略。
在配置命令策略页面,设置以下参数:
- 政策的名字
- 行动
- 命令规范。
- 点击好吧.
将命令策略绑定到用户帐户和用户组
定义了命令策略之后,必须将它们绑定到适当的用户帐户和组。绑定策略时,必须为其分配一个优先级,以便当两个或多个适用的命令策略发生冲突时,设备可以确定遵循哪个命令策略。
命令策略的评估顺序如下:
- 根据优先级编号评估直接向用户和相应组绑定的命令策略。在具有较高优先级编号的一个中评估具有较低优先级编号的命令策略。因此,较低编号的命令策略明确授予或拒绝的任何权限都不会被更高编号的命令策略覆盖。
- 当与用户帐号绑定的命令策略和与组绑定的命令策略优先级相同时,用户帐号直接绑定的命令策略优先执行。
使用命令行界面将命令策略绑定到用户
在命令提示符处,输入以下命令将命令策略绑定到用户并验证配置:
bind system user-policyName show system user
例子:
>绑定系统用户user1 -policyName read_all 1
使用Citrix ADC GUI将命令策略绑定到用户帐户
导航到系统>用户管理>使用者,选择用户和绑定命令策略。
可选地,您可以修改默认优先级以确保按正确的顺序评估策略。
使用命令行界面将命令策略绑定到组
在命令提示符下,输入以下命令将命令策略绑定到用户组并验证配置结果:
绑定系统组-policyName show system group
例子:
>绑定系统组管理器-策略名称全部读取1
使用Citrix ADC GUI将命令策略绑定到用户组
导航到系统>用户管理>组,选择组和绑定命令策略。
可选地,您可以修改默认优先级以确保按正确的顺序评估策略。
示例用例:管理制造组织中的用户帐户、用户组和命令策略
下面的示例演示如何创建一组完整的用户帐户、组和命令策略,并将每个策略绑定到适当的组和用户。这家名为Example Manufacturing, Inc.的公司有三个用户可以访问Citrix ADC设备:
John Doe。IT经理John必须能够查看Citrix ADC配置的所有部分,但无需修改任何内容。
玛丽亚Ramiez。首席IT管理员。Maria必须能够看到和修改Citrix ADC配置的所有部分,除了Citrix ADC命令(本地策略规定必须在作为nsroot登录时执行)。
迈克尔·鲍德罗克。负责负载平衡的IT管理员。Michael必须能够查看Citrix ADC配置的所有部分,但必须仅修改负载平衡功能。
下表显示了示例公司的网络信息、用户帐户名、组名和命令策略的明细。
| 领域 | 价值 | 笔记 |
|---|---|---|
| Citrix ADC主机名 | ns01.example.net | N/A |
| 用户帐户 | 约翰、马里亚尔和迈克尔 | IT经理John Doe、IT管理员Maria Ramirez和IT管理员Michael Baldrock。 |
| 组 | 经理和系统操作 | 所有经理和所有IT管理员。 |
| 命令的政策 | Read_all, modify_lb和modify_all | 允许完全只读访问,允许修改访问负载均衡,允许完全修改访问。 |
以下描述将引导您完成在名为ns01.example.net的Citrix ADC设备上创建一整套用户帐户、组和命令策略的过程。
该说明包括将适当的用户帐户和组相互绑定以及将适当的命令策略绑定到用户帐户和组的过程。
这个示例演示了如何使用优先级为IT部门的每个用户授予精确的访问权限和特权。
该示例假定已经在Citrix ADC上执行了初始安装和配置。
为示例组织配置用户帐户、组和命令策略
- 使用“配置用户帐户”部分中描述的步骤创建用户帐户johnd,是的,迈克尔.
- 使用配置用户组中的步骤创建用户组经理和SysOps,然后绑定用户是的和迈克尔到SysOps组和用户johnd到经理组
使用创建自定义命令策略中描述的过程以创建以下命令策略:
- 通读用行动允许和命令规范
“(^show\s+(?!system)(?!ns.conf)(?!ns runningConfig)。*)|(^stat.*)” - modify_lb以行动作为允许和命令规范
“^ \ s +磅\ s + . * $” - modify_all,动作为允许和命令规范
“^ \ S + \ S +(? !系统)。*”
- 通读用行动允许和命令规范
- 使用“对用户和组的绑定命令策略"把…通读将命令策略添加到SysOps小组,具有优先价值1.
- 使用“对用户和组的绑定命令策略"把…modify_lb对用户的命令策略迈克尔,优先价值5.
你刚刚创建的配置结果如下:
- IT经理John Doe,IT Manager,对整个Citrix ADC配置进行了只读访问,但他无法修改。
- IT主管Maria Ramirez几乎可以完全访问Citrix ADC配置的所有区域,只需登录即可执行Citrix ADC级别的命令。
- 负责负载平衡的IT管理员Michael Baldrock对Citrix ADC配置具有只读访问权限,可以修改负载平衡的配置选项。
应用于特定用户的命令策略集是直接应用于用户帐户的命令策略和应用于该用户所属的一个或多个组的命令策略的组合。
每次用户进入命令时,操作系统都会搜索该用户的命令策略,直到它找到匹配命令的允许或拒绝操作的策略。当它找到匹配时,操作系统停止其命令策略搜索并允许或拒绝访问该命令。
如果操作系统发现没有匹配的命令策略,则拒绝按照Citrix ADC设备的默认拒绝策略访问该命令的访问权限。
注意:
当将一个用户放入多个组时,注意不要造成意外的用户命令限制或特权。为了避免这些冲突,在将用户分组时,请记住Citrix ADC命令策略搜索过程和策略排序规则。