Directivas de autorización

May 9, 2023

Contribución de:

Al configurar una directiva de autorizacion喝水configurarla para permitir o denegar el acceso a los recursos de red de la red interna. Por ejemplo, para permitir que los usuarios accedan a la red 10.3.3.0, utilice la siguiente expresión:

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

Las directivas de autorización se aplican a usuarios y grupos. Después de autenticar a un usuario, NetScaler Gateway realiza una comprobación de autorización de grupo obteniendo la información del grupo del usuario de un servidor RADIUS, LDAP o TACACS+. Si la información del grupo está disponible para el usuario, NetScaler Gateway comprueba los recursos de red permitidos para el grupo.

Para controlar a qué recursos pueden acceder los usuarios, debe crear directivas de autorización. Si no necesita crear directivas de autorización, puede configurar la autorización global predeterminada.

Si crea una expresión dentro de la directiva de autorización que deniegue el acceso a una ruta de archivo, solo puede utilizar la ruta de acceso del subdirectorio y no el directorio raíz. Por ejemplo, use fs.path contiene “dir1dir2” en lugar de fs.path contiene “rootdirdir1dir2”. Si utiliza la segunda versión de este ejemplo, se produce un error en la directiva.

Tras configurar la directiva de autorización, la vinculará a un usuario o grupo.

De forma predeterminada, las directivas de autorización se validan primero con las directivas vinculadas al servidor virtual y, a continuación, con las directivas vinculadas globalmente. Si vincula una directiva de forma global y quiere que la directiva global tenga prioridad sobre una directiva vinculada a un usuario, grupo o servidor virtual, puede cambiar el número de prioridad de la directiva. Los números de prioridad empiezan en cero. Un número de prioridad más bajo otorga a la directiva mayor prioridad.

Por ejemplo, si la directiva global tiene un número de prioridad de uno y el usuario tiene una prioridad de dos, la directiva de autenticación global se aplica primero.

Importante:

Las directivas de autorización clásicas solo se aplican al tráfico TCP.

La directiva de autorización avanzada se puede aplicar a todos los tipos de tráfico (TCP/UDP/ICMP/DNS).

To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.

The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

Para obtener más información sobre las directivas de autorización avanzadas, consulte el artículohttps://support.citrix.com/article/CTX232237.

Configurar y vincular una directiva de autorización

Configurar una directiva de autorización mediante la interfaz gráfica de usuario

Vaya aNetScaler Gateway > Directivas > Autorización.
En el panel de detalles, haga clic enAgregar.
EnNombre, escriba un nombre para la directiva.
EnAcción, seleccionaPermitiroDenegar.
EnExpresión, haga clic enEditor de expresiones.
Para empezar a configurar la expresión, haga clic enSeleccionary elija los elementos necesarios.
Haga clic enListocuando la expresión esté completa.
Haga clic enCreate.

Enlazar una directiva de autorización a un usuario mediante la interfaz gráfica de usuario

Vaya aNetScaler Gateway > Administración de usuarios.
Haga clic enUsuarios AAA.
En el panel de detalles, seleccione un usuario y, a continuación, haga clic enModificar.
EnConfiguración avanzada, haga clic enDirectivas de autorización.
Enla página Vinculaciónde directivas, seleccione una directiva o cree una directiva.
EnPrioridad, defina el número de prioridad.
EnTipo, seleccione el tipo de solicitud y, a continuación, haga clic enAceptar.

Enlazar una directiva de autorización a un grupo mediante la interfaz gráfica de usuario

Vaya aNetScaler Gateway > Administración de usuarios.
Haga clic enGrupos AAA.
En el面板de detalles seleccione联合国格勒乌po y, a continuación, haga clic enModificar.
EnConfiguración avanzada, haga clic enDirectivas de autorización.
Enla página Vinculaciónde directivas, seleccione una directiva o cree una directiva.
EnPrioridad, defina el número de prioridad.
EnTipo, seleccione el tipo de solicitud y, a continuación, haga clic enAceptar.

La autorización especifica los recursos de red a los que tienen acceso los usuarios cuando inician sesión en NetScaler Gateway. La configuración predeterminada de la autorización es denegar el acceso a todos los recursos de red. Citrix recomienda utilizar la configuración global predeterminada y, a continuación, crear directivas de autorización para definir los recursos de red a los que pueden acceder los usuarios.

La autorización se configura en NetScaler Gateway mediante una directiva de autorización y expresiones. Después de crear una directiva de autorización, puede vincularla a los usuarios o grupos que haya configurado en el dispositivo.

Autorización global predeterminada

帕拉值洛杉矶recurso项目一个洛杉矶,tienen accesolos usuarios en la red interna, puede configurar la autorización global predeterminada. La autorización global se configura permitiendo o denegando el acceso a los recursos de red de forma global en la red interna.

Cualquier acción de autorización global que cree se aplica a todos los usuarios que aún no tengan una directiva de autorización asociada a ellos, ya sea directamente o a través de un grupo. Una directiva de autorización de usuarios o grupos siempre anula la acción de autorización global. Si la acción de autorización predeterminada está establecida en Denegar, debe aplicar directivas de autorización a todos los usuarios o grupos para que esos usuarios o grupos puedan acceder a los recursos de la red. Este requisito ayuda a mejorar la seguridad.

Para establecer la autorización global predeterminada:

En la utilidad de configuracion En la ficha进行guration, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Global Settings.
En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
En la ficha Seguridad, junto a Acción de autorización predeterminada, seleccione Permitir o Denegar y, a continuación, haga clic en Aceptar.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Directivas de autorización

May 9, 2023

Contribución de:

May 9, 2023

Contribución de:

En este artículo

¿Le ha resultado útil?