配置授权策略

在配置授权策略时，可以将授权策略设置为允许或禁止访问内部网络中的网络资源。例如，允许用户访问10.3.3.0网络，则使用如下表达式:

子网中的客户端IP DST（10.3.0.0/16）

授权策略应用于用户和组。认证通过后，Citrix Gateway会对用户进行组授权检查，从RADIUS、LDAP或TACACS+服务器获取用户所属的组信息。如果用户有组信息，Citrix Gateway会检查该用户可以使用的网络资源。

要控制用户可以访问哪些资源，必须创建授权策略。如果不需要创建授权策略，则可以配置默认全局授权。

如果在授权策略中创建拒绝访问文件路径的表达式，则只能使用子目录路径而不能使用根目录。例如，使用fs。Path包含“\\dir1\\dir2”而不是“fs”。路径中包含“\ \ rootdir \ \ dir1 \ \ dir2”。如果在本例中使用第二个版本，策略将失败。

配置授权策略后，将其绑定到用户或组，如下面的任务所示。

默认情况下，授权策略首先根据绑定到虚拟服务器的策略进行验证，然后根据全局绑定的策略进行验证。如果全局绑定策略，希望全局策略优先于用户、组或虚拟服务器绑定的策略，可以修改策略的优先级号。优先级数字从零开始。优先级值越低，策略优先级越高。

例如，如果全局策略优先级为1，用户优先级为2，则优先应用全局认证策略。

重要的是:

• 经典授权策略仅应用于TCP流量。

• 高级授权策略可应用于所有类型的流量（TCP/UDP/ICMP/DNS）。

  • UDP/ICMP/DNS应用策略时，策略类型必须分别绑定为UDP_REQUEST、ICMP_REQUEST和DNS_REQUEST。

  • 在绑定时，如果未明确提及“type”或将“type”设置为REQUEST，则行为不会与早期版本相比发生变化，即这些策略仅应用于TCP流量。
  • 在UDP_REQUEST上绑定的策略不适用DNS流量。对于DNS，策略必须显式绑定到DNS_REQUEST。TCP_DNS类似于其他TCP请求。

有关高级授权策略的详细信息，请参阅本文https://support.citrix.com/article/CTX232237．

使用GUI配置授权策略

1. 导航到Citrix网关>策略>授权。
2. 在详细信息窗格中，单击添加．
3. 在里面的名字，键入策略的名称。
4. 在里面行动中,选择允许或否认．
5. 在里面表示点击表达式编辑器．
6. 要开始配置表达式，请单击选择并选择必要的元素。
7. 点击多恩当你的表达完成时。
8. 点击创造．

使用GUI将授权策略绑定到用户

1. 导航到Citrix Gateway >用户管理。
2. 点击AAA级用户．
3. 在详细信息窗格中，选择一个用户，然后单击编辑．
4. 在里面高级设置点击授权策略．
5. 在里面策略绑定页面上，选择策略或创建策略。
6. 在里面优先事项，设置优先级编号。
7. 在里面类型，选择请求类型，然后单击好啊．

使用GUI将授权策略绑定到组

1. 导航到Citrix网关>用户管理．
2. 点击AAA级组．
3. 在详细信息窗格中，选择一个组，然后单击编辑．
4. 在里面高级设置点击授权策略．
5. 在里面策略绑定页面上，选择策略或创建策略。
6. 在里面优先事项，设置优先级编号。
7. 在里面类型，选择请求类型，然后单击好啊．