授权策略
配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:
CLIENT.IP.DST.IN_SUBNET (10.3.0.0/16)
授权策略应用于用户和组。对用户进行身份验证后,Citrix网关通过从 半径、LDAP或 TACACS+服务器获取用户的组信息来执行组授权检查。如果用户可用组信息,Citrix网关将检查该组允许的网络资源。
要控制用户可以访问哪些资源,您必须创建授权策略。如果您不需要创建授权策略,则可以配置默认的全局授权。
如果您在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径而不能使用根目录。例如,使用fs。路径包含“\ \ dir1 \ \ dir2”而非fs。路径包含“\ \ rootdir \ \ dir1 \ \ dir2”。如果您在此示例中使用第二个版本,则策略将失败。
配置授权策略后,然后将其绑定到用户或组。
默认情况下,授权策略首先针对绑定到虚拟服务器的策略进行验证,然后针对全局绑定的策略进行验证。如果您全局绑定策略,并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级号。优先级数从零开始。优先级数越低,策略的优先级越高。
例如,如果全局策略的优先级号为 1.用户的优先级为 2.则首先应用全局身份验证策略。
重要:
- 传统授权策略仅适用于 传输控制协议流量。
高级授权策略可应用于所有类型的流量(TCP/UDP/ICMP/DNS)
UDP/ICMP/DNS应用策略时,策略类型必须分别绑定为UDP_REQUEST、ICMP_REQUEST和DNS_REQUEST。
- 在绑定时,如果未明确提及“type”或将“type”设置为REQUEST,则行为不会与早期版本相比发生变化,即这些策略仅应用于TCP流量。
- UDP_请求时绑定的策略不适用于DNS流量。对于DNS,策略必须显式绑定到DNS_请求TCP_DNS与其他TCP请求类似。
有关高级授权策略的更多详细信息,请参阅文章https://support.citrix.com/article/CTX232237。
配置和绑定授权策略
使用 桂配置授权策略
- 导航到Citrix网关>策略 > 授权。
- 在详细信息窗格中,单击添加(添加)。
- 在名称中,键入策略的名称。
- 在操作中,选择允许或拒绝。
- 在“表达式“中,单击”表达式编辑器”。
- 要开始配置表达式,请单击”选择”并选择必要的元素。
- 表达式完成后单击“完成”。
- 单击创建。
使用 桂将授权策略绑定到用户
- 导航到Citrix网关>用户管理。
- 点击AAA用户。
- 在详细信息窗格中,选择一个用户,然后单击编辑。
- 在“高级设置“中,单击”授权策略”。
- 在策略绑定页面中,选择策略或创建策略。
- 在“优先级”中,设置优先级号。
- 在“类型”中,选择请求类型,然后单击“确定”。
使用 桂将授权策略绑定到组
- 导航到Citrix网关>用户管理。
- 点击AAA组。
- 在详细信息窗格中,选择一个组,然后单击编辑。
- 在“高级设置“中,单击”授权策略”。
- 在策略绑定页面中,选择策略或创建策略。
- 在“优先级”中,设置优先级号。
- 在“类型”中,选择请求类型,然后单击“确定”。
授权指定用户登录 Citrix网关时可以访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。
您可以使用授权策略和表达式在 Citrix网关上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。
默认全局授权
要定义用户在内部网络上可以访问的资源,您可以配置默认的全局授权。您可以通过允许或拒绝访问内部网络上的全局网络资源来配置全局授权。
您创建的任何全局授权操作都将应用于尚未与其关联的授权策略的所有用户,无论是直接还是通过组应用。用户或组授权策略始终覆盖全局授权操作。如果默认授权操作设置为拒绝,则必须对所有用户或组应用授权策略,以便这些用户或组可以访问网络资源。此要求有助于提高安全性。
要设置默认的全局授权:
- 在配置实用程序中的“配置”(配置)选项卡上的导航窗格中,展开“Citrix网关”,然后单击“全局设置”(全局设置)。
- 在详细信息窗格中,单击设置(设置)下的“更改全局设置”(更改全局设置)。
- 在“安全”选项卡上的“默认授权操作”旁边,选择“允许”或“拒绝”,然后单击“确定”。