授权用户访问应用程序资源
可以控制经过身份验证的用户能够在应用程序中访问的资源。
为此,请单独或通过将策略与一组用户关联的方式将授权策略关联到每个用户。授权策略必须指定以下内容:
- 规则。必须授权访问的资源。这可以通过使用基本或高级表达式来指定。
- 操作。是否必须允许或拒绝对资源的访问。
默认情况下,否认(拒绝)所有用户在应用程序中访问所有资源。但是,您可以将此默认授权操作更改为允许(允许)所有用户访问(通过在会话配置文件中设置会话参数或设置全局会话参数)。
警告
为了获得最佳安全性,Citrix建议您不要将默认授权操作从 否认更改为 允许相反,建议您为需要访问特定资源的用户创建特定的授权策略。
使用CLI配置授权
配置授权策略。
ns-cli-prompt>添加授权策略
将策略与相应的用户或组关联。
将策略绑定到特定用户。
ns-cli-prompt>绑定aaa用户
-策略 将策略绑定到特定组。
ns-cli-prompt>绑定aaa组
-策略
使用 桂配置授权(“配置”(配置)选项卡)
创建授权策略。
导航到保安(安全)> AAA-应用程序流量(AAA-应用程序流量)> 政策(策略)> 授权书(授权),单击添加(添加),然后根据需要定义策略。
将策略与相应的用户或组关联。
导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>用户(用户)或组(组),然后编辑相关用户或组以将其与授权策略关联。
授权配置示例
下面是一些用于授权用户访问某些应用程序资源的示例配置。请注意,这些是 CLI命令。可以使用 桂进行类似的配置,但不得将表达式用引号 (“) 引起。
添加授权策略authzpol1“HTTP.REQ.URL.SUFFIX.EQ(\“gif\”)允许<!--NeedCopy-->
绑定aaa用户user1-策略authzpol1<!--NeedCopy-->
添加授权策略authzpol2“HTTP.REQ.URL.SUFFIX.EQ(\“png\”)拒绝<!--NeedCopy-->
绑定aaa组组1-策略authzpol2<!--NeedCopy-->
授权用户访问应用程序资源
本文中包含的内容
已复制
失败!