限制一个Active Directory组的成员对Citrix Gateway的访问

Citrix Gateway支持两种限制登录访问的方法。

• LDAP搜索过滤器—只有匹配LDAP搜索过滤器的用户名(例如，Active Directory组成员)才能登录到Citrix Gateway。
• 在Citrix Gateway会话策略或配置文件中允许登录的组—此方法支持多个Active Directory组。有关详情，请参阅https://support.citrix.com/article/CTX125797。

本文介绍LDAP搜索过滤器方法。

概述

当用户在Citrix Gateway虚拟服务器的登录页面上输入凭据并按ENTER键时，设备首先在Active Directory (LDAP)中搜索用户名。如果LDAP策略或服务器中没有定义LDAP搜索过滤器，则设备将搜索所有Active Directory用户名以寻找匹配项。找到匹配项后，设备就提取用户的完整区分名(DN)，并使用用户的DN和密码对Active Directory进行身份验证。

如果定义了LDAP搜索过滤器，则只有匹配LDAP搜索过滤器的用户名才会被搜索。例如，如果LDAP搜索过滤器构造为仅搜索Active Directory组的成员，则用户输入的用户名必须与该组的成员匹配。

先决条件

Citrix网关虚拟服务器必须配置LDAP认证。

为一个Active Directory组的成员配置LDAP搜索过滤器的步骤

1. 确定具有访问权限的Active Directory组，并获取其完整专有名称。

   获取组的完整专有名称的简单方法是通过Active Directory用户和计算机。

2. 在Active Directory用户和计算机中，从视图菜单,使先进的功能。

   

3. 浏览树到组对象，右键单击，然后单击属性。注意:你不能用找到。相反，您必须在树中导航以查找对象。

   

4. 在右边，切换到属性编辑器选项卡。

   

   此选项卡仅在以下情况下可见先进的功能，如果您没有使用找到特性。

5. 向下滚动到distinguishedName，双击，然后将其复制到剪贴板。

   

6. 在Citrix Gateway GUI中，导航到Citrix网关>虚拟服务器。
7. 选择已有的Citrix Gateway虚拟服务器，单击编辑。
8. 2 .在“基本身份验证”区域，单击LDAP的政策。

9. 右键单击已存在的LDAP策略，单击编辑服务器。

   

10. 在其他设置节，在搜索过滤器字段，输入memberOf =然后将Active Directory组的专有名称粘贴在等号(=)后面。

    

    使用示例:memberOf=CN=Citrix Remote,OU=Citrix,DC=corp,DC=local注意:默认情况下，NetScaler只搜索作为Active Directory组直接成员的用户名。如果要搜索嵌套组，则向LDAP搜索过滤器中添加Microsoft OID::。OID插入到memberOf和=之间。

    例子:memberOf: 1.2.840.113556.1.4.1941: = CN = Citrix远程,OU = Citrix, DC =集团,DC =当地

11. 点击好吧。