认证前策略和配置文件

警告:

认证、授权和审核预认证策略从NetScaler 12.0 build 56.20开始已弃用，作为替代方案，Citrix建议您使用nFactor认证。有关更多信息，请参见nFactor身份验证的话题。

您可以配置Citrix Gateway，在对用户进行身份验证之前检查客户端安全性。这种方法确保与Citrix Gateway建立会话的用户设备符合您的安全需求。通过使用特定于虚拟服务器或全局的预认证策略配置客户端安全检查，如下两个步骤所示。

认证前策略由配置文件和表达式组成。将配置文件配置为使用允许或拒绝进程在用户设备上运行的操作。例如，用户设备上正在运行文本文件clienttext.txt。当用户登录到Citrix Gateway时，如果文本文件正在运行，您可以允许或拒绝访问。如果您不想在进程正在运行时允许用户登录，那么可以配置概要文件，使进程在用户登录之前停止。

认证前策略可配置如下:

• 表达式。包括以下设置，以帮助您创建表达式:
  • 表达式。显示所有表达式。
  • 匹配任何表达式。配置策略以匹配所选表达式列表中的任何表达式。
  • 匹配所有表达式。将策略配置为匹配所选表达式列表中的所有表达式。
  • 表表达式。控件创建具有现有表达式的复合表达式OR (||) OR AND (&&)操作符。
  • 先进的自由。控件和表达式名创建自定义复合表达式OR(||)和and (&&)操作符。只选择需要的表达式，并从所选表达式列表中省略其他表达式。
  • Add.创建表达式。
  • 修改。修改已存在的表达式。
  • 删除。从复合表达式列表中移除选定表达式。
  • 命名表达式。选择已配置的命名表达式。您可以从Citrix Gateway上已经存在的表达式菜单中选择命名表达式。
  • 添加表达式。将选定的命名表达式添加到策略中。
  • 替换表达式。将选定的命名表达式替换到策略中。
  • 预览表达式。当选择命名表达式时，显示在Citrix Gateway上配置的详细客户端安全字符串。

配置preauthentication概要

通过GUI全局配置预认证配置文件

1. 在配置实用程序中，对配置选项卡，在导航窗格中展开Citrix网关然后点击全局设置．
2. 在详细信息窗格中，在设置,点击改变pre-authentication设置．
3. 在全球Pre-authentication设置对话框，设置设置:

   1. 在行动中,选择允许或拒绝．

      拒绝或允许用户在端点分析发生后登录。

   2. 在要取消的进程，进入流程。

      这指定了Endpoint Analysis插件必须停止的流程。

   3. 在需要删除的文件，输入文件名。

      这指定了Endpoint Analysis插件必须删除的文件。

4. 在Expression中，您可以保留表达式ns_true或为特定应用程序(如杀毒软件或安全软件)构建表达式，然后单击OK。

通过GUI方式配置预认证配置文件

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证授权，然后单击“认证前EPA”。
2. 在详细信息窗格中，关于配置文件选项卡上,单击添加．
3. 在的名字，键入要检查的应用程序的名称。
4. 在行动中,选择允许或否认．
5. 在要取消的进程，输入要停止的进程的名称。
6. 在需要删除的文件，输入要删除的文件名称，如c:\clientext.txt，单击创建、然后点击关闭．

请注意:如果要删除文件或停止进程，用户会收到要求确认的消息。步骤5、6为可选参数。

如果使用配置实用工具配置预认证配置文件，则通过单击来创建预认证策略添加在政策选项卡。在创建Pre-Authentication策略对话框中选择概要文件请求配置文件菜单。

配置端点分析表达式

预认证和客户端安全会话策略包括一个配置文件和一个表达式。策略可以有一个配置文件和多个表达式。要在用户设备中扫描应用程序、文件、进程或注册表项，您需要在策略中创建表达式或复合表达式。

类型的表达式

表达式由表达式类型和表达式的参数组成。表达式类型包括:

• 一般
• 客户端安全
• 基于网络的

在预认证策略中添加预配置表达式

Citrix Gateway自带预配置表达式，称为命名表达式。在配置策略时，可以为策略使用命名表达式。例如，您希望认证前策略检查已更新病毒定义的symantecantivirus 10。创建预认证策略，并按如下步骤添加表达式。

创建预认证或会话策略时，可以在创建策略时创建表达式。然后，您可以使用表达式将策略应用到虚拟服务器或全局。

下面介绍如何使用配置实用工具将预配置的反病毒表达式添加到策略中。

向预认证策略添加命名表达式

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证授权，然后单击“认证前EPA”。
2. 在详细信息窗格中，选择一个策略，然后单击Open。
3. 旁边命名表达式中,选择反病毒，在列表中选择防病毒产品。
4. 点击添加表情,点击创建、然后点击关闭．

配置自定义表情

自定义表达式是在策略中创建的表达式。在创建表达式时，需要配置表达式的参数。

您还可以创建自定义客户端安全表达式来引用常用的客户端安全字符串。这简化了配置预认证策略的过程，也简化了维护已配置表达式的过程。

例如，您希望为赛门铁克防病毒10创建自定义客户端安全表达式，并确保病毒定义的时间不超过三天。创建策略，然后配置表达式以指定病毒定义。

以创建预认证策略中的客户端安全策略为例。您可以在会话策略中使用相同的步骤。

创建预认证策略和自定义客户端安全表达式

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证授权，然后按Pre-Authentication环保局．
2. 在详细信息窗格中，单击添加．打开“创建认证前策略”对话框。
3. 在的名字，键入策略的名称。
4. 在请求概要文件旁边，单击新．
5. 在“创建认证配置文件”对话框中，在的名字，键入配置文件的名称行动中,选择允许，然后按创建．
6. 在“创建认证前策略”对话框中，单击“M .抓住任何表达式,点击添加．
7. 在表达式类型中,选择客户端安全．
8. 配置如下:
   1. 在组件中,选择反病毒．
   2. 在的名字，键入应用程序的名称。
   3. 在限定符中,选择版本．
   4. 在操作符中,选择= =．
   5. 在价值，输入值。
   6. 在新鲜，输入3，然后单击好吧．
9. 2 .在“创建认证前策略”对话框中，单击创建，然后按关闭．

配置自定义表达式时，将其添加到表达式的对话框。

配置复合表达式

一个预认证策略可以有一个配置文件和多个表达式。如果配置复合表达式，可以使用操作符指定表达式的条件。例如，您可以配置复合表达式，要求用户设备运行以下防病毒应用程序之一:

• 诺顿杀毒10
• 迈克菲杀毒11
• Sophos杀毒4

使用OR操作符配置表达式，以检查上述三个应用程序。如果Citrix Gateway检测到用户设备上的任何应用程序的版本正确，则允许用户登录。策略对话框中的表达式如下所示:

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

有关复合表达式的更多信息，请参见配置复合表达式．

绑定preauthentication政策

创建认证前安全会话策略或客户端安全会话策略后，需要将该策略与应用该策略的级别绑定。可以将预认证策略绑定到虚拟服务器或全局绑定。

全局创建并绑定预认证策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix网关然后点击全局设置．
2. 在详细信息窗格中，单击改变pre-authentication设置．
3. 在“全局预认证设置”对话框中行动中,选择允许或否认．
4. 在的名字，键入策略的名称。
5. 在全球Pre-authentication设置对话框，在命名表达式中,选择一般中,选择真正的值,点击添加表情,点击创建，然后按关闭．

为虚拟服务器绑定预认证策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix网关然后点击虚拟服务器．
2. 在详细信息窗格中选择虚拟服务器，单击开放．
3. 在“配置Citrix网关虚拟服务器”对话框中，单击政策选项卡，然后单击Pre-authentication．
4. 在细节,点击插入政策，并在“策略名称”下选择预认证策略。
5. 点击好吧．

解绑定和移除预认证策略

如果需要，您可以从Citrix Gateway中移除预认证策略。移除预认证策略前，请先解绑定虚拟服务器或全局解绑定。

解绑定全局预认证策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证授权，然后单击“认证前EPA”。
2. 在详细信息窗格中，选择一个策略，然后在行动,点击全局绑定．
3. 在绑定/去绑定认证前策略到全局对话框中，选择策略，单击解放的政策，然后按好吧．

解绑定虚拟服务器的预认证策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix网关,然后点击虚拟服务器．
2. 在配置Citrix网关虚拟服务器对话框，单击政策选项卡，然后单击Preauthentication．
3. 选择策略，然后单击解放的政策．

当未绑定认证预策略时，可在Citrix Gateway中移除该策略。

删除预认证策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证授权，然后按Pre-Authentication环保局．
2. 在详细信息窗格中，选择一个策略，然后单击删除．

配置预认证策略的优先级

可以有多个预认证策略绑定到不同的级别。例如，您有一个策略用于检查绑定到Citrix ADC AAA Global的特定防病毒应用程序，以及一个绑定到虚拟服务器的防火墙策略。用户登录时，先应用与虚拟服务器绑定的策略。在Citrix ADC AAA Global上绑定的策略是第二应用的。

您可以更改进行身份验证前扫描的顺序。若要让Citrix Gateway优先应用全局策略，请更改绑定到虚拟服务器的策略的优先级编号，使其优先级高于全局绑定的策略。例如，设置全局策略优先级为1，虚拟服务器策略优先级为2。用户登录时，Citrix Gateway会先进行全局策略扫描，再进行虚拟服务器策略扫描。

使用实例修改预认证策略的优先级

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix网关然后点击虚拟服务器．
2. 在详细信息窗格中选择虚拟服务器，单击开放．
3. 在Policies选项卡上，单击Pre-authentication．
4. 在“优先级”下，输入策略的优先级编号，然后单击好吧．