策略d 'autorisation
Lorsque vous configure une stratégie d 'autorisation, vous pouvez la définir pour autoriser ou refuser l 'accès辅助资源réseau dans le réseau internne。例如,pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l 'expression suivante:
CLIENT.IP.DST.IN_SUBNET (10.3.0.0/16)
Les stratégies d 'autorisation sont appliquées aux utilisateurs et aux groupes。Une fois qu 'un utilisateur est authentifié, Citrix网关效果Une vérification d 'autorisation group en obtenant les information de groupe de l 'utilisateur à partir d 'un server RADIUS, LDAP ou TACACS +。Si des information de groupe sont disponibles pour l 'utilisateur, Citrix Gateway vérifie les resource réseau autorisées pour le groupe。
倾contrôler les resources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d 'autorisation。我愿与你共同努力créer des stratégies d 'autorisation,你愿与你共同努力全球e 'autorisation par défaut。
Si vous créez une expression dans la stratégie d 'autorisation qu拒绝l 'accès à un chemin d 'accès au fichier, vous ne pouvez utiliser que le chemin du sous-répertoire et non le répertoire racine。例如,使用fs。路径包含“\\dir1\\dir2”代替fs。路径包含“\\rootdir\\dir1\\dir2”。Si vous utilisez la deuxième版本丹斯cet样例,la stratégie échoue。
Après avoir configuré la stratégie d 'autorisation, vous la liez ensuite à un utilisateur ou à un groupe。
défaut, les stratégies d 'autorisation sont validées d 'abord Par rapport aux stratégies que vous liez au server virtuel, puis aux stratégies liées globalement。我爱你stratégie全球与你在一起的地方stratégie全球与你在一起的地方priorité在一起的地方stratégie你在一起的地方à我爱你,我爱你,我爱你,我爱你numéro priorité德拉stratégie。Les numéros de priorité开始à zéro。Un numéro de priorité inférieur donne une priorité加上élevée à la politique。
例如,si la stratégie globale a un numéro de priorité de un et que l 'utilisateur a une priorité de deux, la stratégie d ' authentication globale est appliquée en premier。
重要的是:
- Les stratégies d 'autorisation classiques sont appliquées uniquement sur le traffic TCP。
La stratégie d 'autorisation avancée peut être appliquée à tous les类型流量(TCP/UDP/ICMP/DNS)。
如果需要对UDP/ICMP/DNS流量应用策略,则策略必须分别绑定在UDP_REQUEST、ICMP_REQUEST和DNS_REQUEST类型。
- 在绑定时,如果没有显式地提到“type”或将“type”设置为REQUEST,则行为与之前的构建没有变化,即这些策略仅应用于TCP流量。
- 在UDP_REQUEST上绑定的策略不应用于DNS流量。对于DNS,策略必须显式绑定到DNS_REQUEST TCP_DNS类似于其他TCP请求。
倾加d '信息由les stratégies d '授权avancées,咨询l '文章https://support.citrix.com/article/CTX232237.
配置et lier une stratégie d '自动化
配置une stratégie d 'autorisation à l 'aide de l 'interface graphique
- Accedez一Citrix Gateway > Stratégies >自动化。
- 信息的力量,我们的力量Ajouter.
- 在笔名, tapez UN nom pour la stratégie。
- 在行动, selectionnezAutoriser欧拒绝者.
- 在表达式, cliquez surEditeur d 'expression.
- 倒commencer à configurer l 'expression, cliquez sur选择Et choisissez les éléments nécessaires。
- 双击苏尔TermineLorsque votre expression est terminée。
- 双击苏尔克里尔.
Lier une stratégie d 'autorisation à un utilisateur à l 'aide de l 'interface graphique
- Accedez一Citrix Gateway >行政管理des utilisateurs。
- 双击苏尔Utilisateurs AAA.
- 信息之路,sélectionnez信息之路,信息之路修饰符.
- 在产品的皇冠, cliquez sur策略d 'autorisation.
- Dans la page联络de stratégie, sélectionnez une stratégie ou créez une stratégie。
- 在钇易解石, définissez le numéro de priorité。
- 在类型, sélectionnez le type de demand, puis cliquez sur好吧.
Lier une stratégie d 'autorisation à un groupe à l 'aide de l 'interface graphique
- Accedez一Citrix Gateway >行政管理des utilisateurs.
- 双击苏尔的小组AAA.
- 信息之神,sélectionnez联合国集团,法国修饰符.
- 在产品的皇冠, cliquez sur策略d 'autorisation.
- Dans la page联络de stratégie, sélectionnez une stratégie ou créez une stratégie。
- 在钇易解石, définissez le numéro de priorité。
- 在类型, sélectionnez le type de demand, puis cliquez sur好吧.
自动化spécifie les资源réseau auxquelles les utilisateurs ont accès lorsqu 'ils se connectent à Citrix网关。Le paramètre par défaut pour l 'autorisation est de refuser l 'accès à toutes les resources réseau。Citrix推荐d 'utiliser le paramètre全球par défaut, puis de créer des stratégies d 'autorisation pour définir les resources réseau auxquelles les utilisateurs peuvent accéder。
Vous configurez l 'autorisation sur Citrix Gateway à l 'aide d 'une stratégie et d 'expressions d 'autorisation。Après avoir créé une stratégie自动授权,你可以用你的方式和你的团队一起configurés使用。
全球认证défaut
倾注définir les resources auxquelles les utilisateurs ont accès sur le réseau internne, vous pouvez configure l 'autorisation vous pouvez para défaut。Vous配置l 'autorisation全球在自动的在拒绝的l 'accès辅助资源réseau全球在réseau互联网。
全球授权行动créez est appliquée à执行行动stratégie d 'autorisation associée à eux,经由集团的指示。Une stratégie d 'autorisation d 'utilisateur ou de groupe顶替jours l 'action d 'autorisation全球。授权授权défaut est définie拒绝授权,授权授权stratégies授权à资源授权réseau可访问à资源授权授权。赛特紧急捐款à améliorer la sécurité。
倒définir l 'autorisation global par défaut:
- Dans l 'utilitaire de configuration, sous l 'onglet configuration, Dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux。
- Dans le volet d ' information, sous Paramètres, cliquez sur Modifier les paramètres globaux。
- Sécurité,关于授权的行动défaut, sélectionnez拒绝授权的权利。