配置授权策略

配置授权策略时，可以将其设置为允许或拒绝访问内部网络中的网络资源。例如，要允许用户访问10.3.3.0网络，请使用以下表达式：

CLIENT.IP.DST.IN_SUBNET (10.3.0.0/16)

授权策略应用于用户和组。用户通过身份验证后，Citrix网关通过从RADIUS、LDAP或TACACS+服务器获取用户的组信息来执行组授权检查。如果用户可以使用组信息，Citrix网关将检查组允许的网络资源。

为了控制用户可以访问哪些资源，需要创建授权策略。如果不需要创建授权策略，可以配置默认全局授权。

如果在授权策略中创建拒绝访问文件路径的表达式，则只能使用子目录路径而不能使用根目录。例如，使用fs。Path包含“\\dir1\\dir2”而不是“fs”。路径中包含“\ \ rootdir \ \ dir1 \ \ dir2”。如果在本例中使用第二个版本，策略将失败。

配置授权策略后，将其绑定到用户或组，如下面的任务所示。

默认情况下，授权策略首先根据绑定到虚拟服务器的策略进行验证，然后根据全局绑定的策略进行验证。如果全局绑定策略，希望全局策略优先于用户、组或虚拟服务器绑定的策略，可以修改策略的优先级号。优先级数字从零开始。优先级值越低，策略优先级越高。

例如，如果全局策略的优先级为1，而用户的优先级为2，则首先应用全局身份验证策略。

重要的是:

• 经典授权策略仅适用于TCP流量。

• 高级授权策略可以应用于所有类型的流量(TCP/UDP/ICMP/DNS)。

  • UDP/ICMP/DNS应用策略时，策略类型必须分别绑定为UDP_REQUEST、ICMP_REQUEST和DNS_REQUEST。

  • 在绑定时，如果“类型”没有明确提到或“类型”设置为REQUEST，则行为不会从早期构建中更改，也就是说这些策略只应用于TCP流量。
  • UDP_请求时绑定的策略不适用于DNS流量。对于DNS，策略必须显式绑定到DNS_请求TCP_DNS与其他TCP请求类似。

有关高级授权策略的更多详细信息，请参阅文章https://support.citrix.com/article/CTX232237.

使用GUI配置授权策略的步骤

1. 引导到Citrix网关>策略>授权。
2. 在详细信息窗格中，单击添加.
3. 在名称，键入策略的名称。
4. 在行动选择允许或否认.
5. 在表达式,点击表达式编辑器.
6. 要开始配置表达式，请单击选择并选择必要的元素。
7. 点击完成当你的表达完成时。
8. 点击创建.

使用GUI将授权策略绑定到用户

1. 引导到Citrix Gateway >用户管理。
2. 点击AAA用户.
3. 在详细信息窗格中，选择一个用户，然后单击编辑.
4. 在高级设置,点击授权策略.
5. 在政策约束力页，选择策略或创建策略。
6. 在优先级，设置优先级号码。
7. 在类型，选择请求类型，然后单击好吧.

使用GUI将授权策略绑定到组

1. 引导到Citrix Gateway >用户管理.
2. 点击AAA组.
3. 在详细信息窗格中，选择一个组，然后单击编辑.
4. 在高级设置,点击授权策略.
5. 在政策约束力页，选择策略或创建策略。
6. 在优先级，设置优先级号码。
7. 在类型，选择请求类型，然后单击好吧.