Stratégies d’autorisation

May 5, 2023

Contributeur:

Lorsque vous configurez une stratégie d’autorisation, vous pouvez la définir pour autoriser ou refuser l’accès aux ressources réseau du réseau interne. Par exemple, pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l’expression suivante :

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

Les stratégies d’autorisation sont appliquées aux utilisateurs et aux groupes. Une fois qu’un utilisateur est authentifié, NetScaler Gateway effectue une vérification d’autorisation de groupe en obtenant les informations de groupe de l’utilisateur auprès d’un serveur RADIUS, LDAP ou TACACS+. Si les informations de groupe sont disponibles pour l’utilisateur, NetScaler Gateway vérifie les ressources réseau autorisées pour le groupe.

Pour contrôler les ressources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d’autorisation. Si vous n’avez pas besoin de créer des stratégies d’autorisation, vous pouvez configurer l’autorisation globale par défaut.

如果你们creez一个表达式中选择策略dutorisation qui refuse l’accès à un chemin d’accès au fichier, vous ne pouvez utiliser que le chemin d’accès au sous-répertoire et non le répertoire racine. Par exemple, utilisez fs.path contient « \ \ dir1 \ \ dir2” au lieu de fs.path contient « \ \ rootdir \ \ dir1 \ \ dir2”. Si vous utilisez la deuxième version de cet exemple, la stratégie échoue.

Après avoir configuré la politique d’autorisation, vous la liez à un utilisateur ou à un groupe.

Par défaut, les stratégies d’autorisation sont d’abord validées par rapport aux stratégies que vous liez au serveur virtuel, puis par rapport aux stratégies liées globalement. Si vous liez une stratégie globalement et que vous souhaitez qu’elle soit prioritaire sur une stratégie que vous liez à un utilisateur, un groupe ou un serveur virtuel, vous pouvez modifier le numéro de priorité de la stratégie. Les numéros de priorité commencent à zéro. Un numéro de priorité inférieur donne à la stratégie une priorité plus élevée.

Par exemple, si la stratégie globale a un numéro de priorité et que l’utilisateur a une priorité de deux, la stratégie d’authentification globale est appliquée en premier.

Important :

Les策略d 'autorisation典型的是:iquées uniquement au trafic TCP.

La stratégie d’autorisation avancée peut être appliquée à tous les types de trafic (TCP/UDP/ICMP/DNS).

To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.

The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

Pour plus d’informations sur les stratégies d’autorisation avancées, consultez l’articlehttps://support.citrix.com/article/CTX232237.

Configurer et lier une politique d’autorisation

Configuration d’une politique d’autorisation à l’aide de l’interface graphique

Accédez àNetScaler Gateway > Politiques > Autorisation.
Dans le volet de détails, cliquez surAjouter.
DansNom, tapez le nom de la stratégie.
DansAction, sélectionnezAutoriserouRefuser.
DansExpression, cliquez surExpression Editor.
Pour commencer à configurer l’expression, cliquez surSélectionneret choisissez les éléments nécessaires.
Cliquez surTerminé当est terminee的表达式。
Cliquez surCreate.

Lier une politique d’autorisation à un utilisateur à l’aide de l’interface graphique

Accédez àNetScaler Gateway > Administration des utilisateurs.
Cliquez surUtilisateurs AAA.
Dans le volet d’informations, sélectionnez un utilisateur, puis cliquez surModifier.
Dans lesparamètres avancés, cliquez surStratégies d’autorisation.
Dansla page Liaisonde stratégie, sélectionnez une stratégie ou créez une stratégie.
DansPriorité, définissez le numéro de priorité.
DansType, sélectionnez le type de demande, puis cliquez surOK.

Lier une politique d’autorisation à un groupe à l’aide de l’interface graphique

Accédez àNetScaler Gateway > Administration des utilisateurs.
Cliquez surAAA Groups.
Dans le volet d’informations, sélectionnez un groupe, puis cliquez surModifier.
Dans lesparamètres avancés, cliquez surStratégies d’autorisation.
Dansla page Liaisonde stratégie, sélectionnez une stratégie ou créez une stratégie.
DansPriorité, définissez le numéro de priorité.
DansType, sélectionnez le type de demande, puis cliquez surOK.

L’autorisation spécifie les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils se connectent à NetScaler Gateway. Le paramètre par défaut de l’autorisation consiste à refuser l’accès à toutes les ressources réseau. Citrix recommande d’utiliser le paramètre global par défaut, puis de créer des stratégies d’autorisation pour définir les ressources réseau auxquelles les utilisateurs peuvent accéder.

Vous configurez l’autorisation sur NetScaler Gateway à l’aide d’une stratégie et d’expressions d’autorisation. Après avoir créé une stratégie d’autorisation, vous pouvez la lier aux utilisateurs ou aux groupes que vous avez configurés sur l’appliance.

Autorisation globale par défaut

Pour définir les ressources auxquelles les utilisateurs ont accès sur le réseau interne, vous pouvez configurer l’autorisation globale par défaut. Vous configurez l’autorisation globale en autorisant ou en refusant l’accès aux ressources réseau globalement sur le réseau interne.

Toute action d’autorisation globale que vous créez est appliquée à tous les utilisateurs auxquels aucune stratégie d’autorisation n’est déjà associée, soit directement, soit par l’intermédiaire d’un groupe. Une stratégie d’autorisation d’utilisateur ou de groupe remplace toujours l’action d’autorisation globale. Si l’action d’autorisation par défaut est définie sur Refuser, vous devez appliquer des politiques d’autorisation à tous les utilisateurs ou groupes afin de rendre les ressources réseau accessibles à ces utilisateurs ou groupes. Cette exigence contribue à améliorer la sécurité.

Pour définir l’autorisation globale par défaut :

Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres généraux.
Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
Dans l’onglet Sécurité, en regard de Action d’autorisation par défaut, sélectionnez Autoriser ou Refuser, puis cliquez sur OK.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Stratégies d’autorisation

May 5, 2023

Contributeur:

May 5, 2023

Contributeur:

Dans cet article

Cela vous a-t-il été utile ?