認可ポリシーの設定
認可ポリシーを設定するときに,内部ネットワークのネットワークリソースへのアクセスを許可または拒否するように設定できます。たとえば,ユーザが10.3.3.0ネットワークにアクセスできるようにするには,次の式を使用します。
REQ.IP.DESTIP = = 10.3.0.0子网掩码255.255.0.0
承認ポリシーは,ユーザーとグループに適用されます。ユーザーが認証されると,Citrix网关は,半径,LDAP、またはTACACS +サーバーからユーザーのグループ情報を取得して,グループ承認チェックを実行します。ユーザーがグループ情報を使用できる場合,Citrix网关はそのグループに許可されているネットワークリソースをチェックします。
ユーザーがアクセスできるリソースを制御するには,承認ポリシーを作成する必要があります。認可ポリシーを作成する必要がない場合は,デフォルトのグローバル認可を設定できます。
ファイルパスへのアクセスを拒否する式を認可ポリシー内に作成した場合,ルートディレクトリではなく,サブディレクトリパスのみを使用できます。たとえば”\ \ルートディレクトリ\ \ dir1 \ \ dir2”ではなく,fs。路径に“\ \ dir1 \ \ dir2が含まれているを使用します。この例で2番目のバージョンを使用すると,ポリシーは失敗します。
認可ポリシーを設定したら,次のタスクに示すように,それをユーザーまたはグループにバインドします。
デフォルトでは,認可ポリシーは,最初に仮想サーバにバインドしたポリシーに対して検証され,次にグローバルにバインドされたポリシーに対して検証されます。ポリシーをグローバルにバインドし,ユーザー,グループ,または仮想サーバにバインドするポリシーよりもグローバルポリシーを優先させる場合は,ポリシーのプライオリティ番号を変更できます。プライオリティ番号はゼロから始まります。プライオリティ番号が小さいほど,ポリシーの優先順位が高くなります。
たとえば,グローバルポリシーの優先順位番号が1でユーザの優先順位が2の場合,グローバル認証ポリシーが最初に適用されます。
重要:
- 従来の認可ポリシーは,TCPトラフィックにだけ適用されます。
高度な認可ポリシーは,すべてのタイプのトラフィック(TCP / UDP / ICMP / DNS)に適用できます。
UDP / ICMP / DNSトラフィックにポリシーを適用するには,ポリシーがUDP_REQUEST, ICMP_REQUEST, DNS_REQUESTの各タイプでバインドされている必要があります。
バインディング中,“タイプ”が明示的に言及されていないか,“タイプ”が请求に設定されている場合,動作は以前のビルドから変更されません。つまり,これらのポリシーは,TCPトラフィックにのみ適用されます。
高度な承認ポリシーの詳細については,”https://support.citrix.com/article/CTX232237“を参照してください。
GUIを使用して認可ポリシーを設定するには
- Citrix网关>[ポリシー]>[認証]に移動します。
- 詳細ウィンドウで,(追加]をクリックします。
- [名前]に,ポリシーの名前を入力します。
- 「アクション“で。”許可“または”拒否“を選択します。
- [式]で,[式エディタ]をクリックします。
- 式の構成を開始するには,(選択]をクリックして必要な要素を選択します。
- 式が完成したら,(完了]をクリックします。
- [作成]をクリックします。
GUIを使用して認可ポリシーをユーザーにバインドするには
- Citrix网关>[ユーザー管理]に移動します。
- [AAAユーザ]をクリックします。
- 詳細ペインでユーザーを選択し,(編集]をクリックします。
- [詳細設定]で,(承認ポリシー]をクリックします。
- 「ポリシー・バインディング“ページで,ポリシーを選択するか,ポリシーを作成します。
- [優先度]で,優先度番号を設定します。
- 「タイプ“で要求タイプを選択し,”OK”をクリックします。
GUIを使用して認可ポリシーをグループにバインドするには
- Citrix网关>[ユーザー管理)に移動します。
- [AAAグループ]をクリックします。
- 詳細ペインでグループを選択し,(編集]をクリックします。
- [詳細設定]で,(承認ポリシー]をクリックします。
- 「ポリシー・バインディング“ページで,ポリシーを選択するか,ポリシーを作成します。
- [優先度]で,優先度番号を設定します。
- 「タイプ“で要求タイプを選択し,”OK”をクリックします。