认证前策略和配置文件

警告:

认证、授权和审计预认证策略从NetScaler 12.0 build 56.20起就已弃用，作为替代方案，Citrix建议您使用nFactor认证。有关更多信息，请参见nFactor身份验证的话题。

通过配置Citrix Gateway对用户进行认证前的客户端安全检查。这种方法可以确保与Citrix Gateway建立会话的用户设备符合您的安全需求。通过使用特定于虚拟服务器或全局的预认证策略来配置客户端安全检查，如下面的两个过程所述。

预认证策略由配置文件和表达式组成。您可以配置概要文件，以使用一个操作来允许或拒绝在用户设备上运行进程。例如，在用户设备上运行的文本文件clienttext.txt。当用户登录到Citrix Gateway时，如果文本文件正在运行，您可以允许或拒绝访问。如果您不希望在进程正在运行时允许用户登录，请配置概要文件，以便在用户登录之前停止进程。

认证前策略可以配置如下设置:

• 表达式。包括以下设置，以帮助您创建表达式:
  • 表达式。显示所有表达式。
  • 匹配任何表达式。配置策略以匹配所选表达式列表中出现的任何表达式。
  • 匹配所有表达式。配置策略以匹配所选表达式列表中出现的所有表达式。
  • 表表达式。方法使用现有表达式创建复合表达式OR(||)或AND (&&)操作符。
  • 先进的自由。方法创建自定义复合表达式OR(||)和and (&&)操作符。只选择需要的表达式，并从所选表达式列表中省略其他表达式。
  • 创建表达式。
  • 修改。修改现有表达式。
  • 删除。从复合表达式列表中删除所选表达式。
  • 命名表达式。选择已配置的命名表达式。您可以从Citrix Gateway上已有的表达式菜单中选择指定的表达式。
  • 添加表达式。将选定的命名表达式添加到策略中。
  • 替换表达式。将选定的命名表达式替换为策略。
  • 预览表达式。显示在选择命名表达式时在Citrix Gateway上配置的详细客户端安全字符串。

配置preauthentication概要

通过GUI，全局配置认证前配置文件

1. 在配置实用程序中配置选项卡，在导航窗格中展开Citrix网关然后点击全局设置．
2. 在详细信息窗格中，在设置,点击改变pre-authentication设置．
3. 在全球Pre-authentication设置对话框，配置设置:

   1. 在行动中,选择允许或拒绝．

      拒绝或允许用户在端点分析发生后登录。

   2. 在要取消的进程，进入流程。

      这指定端点分析插件必须停止的进程。

   3. 在待删除文件，输入文件名。

      这指定端点分析插件必须删除的文件。

4. 在“表达式”中，您可以将表达式保留为ns_true，也可以为特定的应用程序(如杀毒软件或安全软件)构建表达式，然后单击“确定”。

使用GUI配置预认证配置文件

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证/授权，然后单击“预认证EPA”。
2. 在详细信息窗格中，在配置文件选项卡上,单击添加．
3. 在的名字，输入要检查的应用程序的名称。
4. 在行动中,选择允许或否认．
5. 在要取消的进程，输入要停止的进程的名称。
6. 在待删除文件，输入要删除的文件名，例如c:\clientext.txt，单击创建、然后点击关闭．

请注意:删除文件或停止进程时，用户会收到确认信息。步骤5和步骤6为可选参数。

如果使用配置实用程序配置预认证配置文件，则可以通过单击创建预认证策略添加在政策选项卡。在创建Pre-Authentication策略对话框中选择概要文件请求配置文件菜单。

配置端点分析表达式

预认证和客户端安全会话策略包括一个配置文件和一个表达式。策略可以有一个配置文件和多个表达式。要在用户设备上扫描应用程序、文件、进程或注册表项，需要在策略中创建表达式或复合表达式。

类型的表达式

表达式由表达式类型和表达式的参数组成。表达式类型包括:

• 一般
• 客户端安全
• 基于网络的

将预配置的表达式添加到预认证策略中

Citrix Gateway提供了预先配置的表达式，称为命名表达式。在配置策略时，可以为策略使用命名表达式。例如，您希望身份验证前策略检查带有更新的病毒定义的Symantec antivirus 10。创建认证前策略并按以下步骤添加表达式。

创建预认证策略或会话策略时，可以在创建策略时创建表达式。然后，您可以将带有表达式的策略应用到虚拟服务器或全局服务器。

以下步骤介绍如何使用配置实用程序将预配置的防病毒表达式添加到策略中。

向身份验证前策略添加命名表达式

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证/授权，然后单击“预认证EPA”。
2. 在详细信息窗格中，选择一个策略，然后单击Open。
3. 旁边命名表达式中,选择反病毒，在列表中选择防病毒产品。
4. 点击添加表情,点击创建、然后点击关闭．

配置自定义表情

自定义表达式是在策略中创建的表达式。在创建表达式时，需要为表达式配置参数。

您还可以创建自定义客户端安全表达式来引用常用的客户端安全字符串。这简化了配置预认证策略的过程，也简化了维护配置的表达式的过程。

例如，您希望为Symantec antivirus 10创建一个自定义客户机安全表达式，并确保病毒定义不超过3天。创建策略，然后配置表达式以指定病毒定义。

下面介绍如何在认证前策略中创建客户端安全策略。您可以在会话策略中使用相同的步骤。

创建认证前策略和自定义客户端安全表达式

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证/授权，然后按Pre-Authentication环保局．
2. 在详细信息窗格中，单击添加．系统弹出“创建认证前策略”对话框。
3. 在的名字，为策略键入名称。
4. 在“请求配置文件”后，单击新．
5. 在“创建认证配置文件”对话框中，单击的名字，为配置文件键入名称并在行动中,选择允许，然后按创建．
6. 在“创建认证前策略”对话框中，“M”后面的复选框抓住任何表达式,点击添加．
7. 在表达式类型中,选择客户端安全．
8. 配置如下:
   1. 在组件中,选择反病毒．
   2. 在的名字，为应用程序键入一个名称。
   3. 在限定符中,选择版本．
   4. 在操作符中,选择= =．
   5. 在价值，输入值。
   6. 在新鲜，输入3，然后单击好吧．
9. 2 .在“创建认证前策略”对话框中，单击创建，然后按关闭．

配置自定义表达式时，它将被添加到表达式对话框中的。

配置复合表达式

预认证策略可以有一个配置文件和多个表达式。如果配置复合表达式，则使用操作符指定表达式的条件。例如，您可以配置复合表达式，要求用户设备运行以下防病毒应用程序之一:

• 诺顿杀毒10
• 迈克菲杀毒11
• Sophos杀毒4

用OR操作符配置表达式来检查前面三个应用程序。如果Citrix Gateway检测到用户设备上任何应用程序的正确版本，则允许用户登录。策略对话框中的表达式如下所示:

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

有关复合表达式的更多信息，请参见配置复合表达式．

绑定preauthentication政策

创建认证前策略或客户端安全会话策略后，需要将策略绑定到所应用的级别。可以将认证前策略绑定到虚拟服务器，也可以全局绑定。

全局创建认证前策略并绑定

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix网关然后点击全局设置．
2. 在详细信息窗格中，单击改变pre-authentication设置．
3. 在“全局认证前设置”对话框中，单击行动中,选择允许或否认．
4. 在的名字，为策略键入名称。
5. 在全球Pre-authentication设置对话框，旁边命名表达式中,选择一般中,选择真正的值,点击添加表情,点击创建，然后按关闭．

为虚拟服务器绑定认证前策略

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix网关然后点击虚拟服务器．
2. 在详细信息窗格中，选择虚拟服务器，然后单击开放．
3. 在“配置Citrix网关虚拟服务器”对话框中，单击政策选项卡，然后单击Pre-authentication．
4. 在细节,点击插入政策，在“策略名称”下选择认证前策略。
5. 点击好吧．

解绑定和移除认证前策略

如果需要，可以从Citrix Gateway中删除预认证策略。删除认证前策略前，需要先解除与虚拟服务器或全局绑定。

解绑定全局认证前策略

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证/授权，然后单击“预认证EPA”。
2. 在详细信息窗格中，选择一个策略，然后放入行动,点击全局绑定．
3. 在绑定/解绑定认证前策略到全局对话框中，选择策略，单击解放的政策，然后按好吧．

解绑定虚拟服务器的认证前策略

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix网关,然后点击虚拟服务器．
2. 在配置Citrix网关虚拟服务器对话框中，单击政策选项卡，然后单击Preauthentication．
3. 选择策略，单击解放的政策．

解绑定认证前策略后，可以在“Citrix Gateway”中移除该策略。

删除认证前策略

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix Gateway > Policies >认证/授权，然后按Pre-Authentication环保局．
2. 在详细信息窗格中，选择一个策略，然后单击删除．

设置认证前策略优先级

您可以拥有多个被绑定到不同级别的预认证策略。例如，您有一个策略，用于检查绑定到Citrix ADC AAA Global的特定防病毒应用程序和一个绑定到虚拟服务器的防火墙策略。当用户登录时，首先应用与虚拟服务器绑定的策略。其次应用在Citrix ADC AAA Global上绑定的策略。

您可以更改发生身份验证前扫描的顺序。要使Citrix Gateway首先应用全局策略，需要更改绑定到虚拟服务器的策略的优先级编号，使其优先级编号高于全局绑定的策略。例如，配置全局策略优先级为1，虚拟服务器策略优先级为2。当用户登录时，Citrix Gateway首先执行全局策略扫描，然后执行虚拟服务器策略扫描。

修改认证前策略优先级

1. 在配置实用程序的configuration选项卡上，在导航窗格中展开Citrix网关然后点击虚拟服务器．
2. 在详细信息窗格中，选择虚拟服务器，然后单击开放．
3. 在“策略”选项卡上，单击Pre-authentication．
4. 在“优先级”下，输入策略的优先级编号，单击好吧．