ADC

Benutzer und Gruppen

Nachdem Sie die grundlegenden Einstellungen für Authentifizierung, Autorisierung und Überwachung konfiguriert haben, erstellen Sie Benutzer und Gruppen. Sie erstellen zunächst ein Benutzerkonto für jede Person, die sich über die NetScaler-Appliance authentifiziert. Wenn Sie die lokale Authentifizierung verwenden, die von der NetScaler Appliance selbst gesteuert wird, erstellen Sie lokale Benutzerkonten und weisen jedem dieser Konten Kennwörter zu.

Sie erstellen auch Benutzerkonten auf der NetScaler-Appliance, wenn Sie einen externen Authentifizierungsserver verwenden. In diesem Fall muss jedoch jedes Benutzerkonto genau mit einem Konto für diesen Benutzer auf dem externen Authentifizierungsserver übereinstimmen, und Sie weisen den Benutzerkonten, die Sie auf dem NetScaler erstellen, keine Passwörter zu. Der externe Authentifizierungsserver verwaltet die Passwörter für Benutzer, die sich beim externen Authentifizierungsserver authentifizieren.

Wenn Sie einen externen Authentifizierungsserver verwenden, können Sie trotzdem lokale Benutzerkonten auf der NetScaler-Appliance erstellen, wenn Sie beispielsweise temporären Benutzern (wie Besuchern) die Anmeldung ermöglichen möchten, aber keine Einträge für diese Benutzer auf dem Authentifizierungsserver erstellen möchten. Sie weisen jedem lokalen Benutzerkonto ein Passwort zu, genau wie Sie es tun würden, wenn Sie die lokale Authentifizierung für alle Benutzerkonten verwenden würden.

Jedes Benutzerkonto muss an Richtlinien für Authentifizierung und Autorisierung gebunden sein. Um diese Aufgabe zu vereinfachen, können Sie eine oder mehrere Gruppen erstellen und ihnen Benutzerkonten zuweisen. Sie können dann Richtlinien an Gruppen statt an einzelne Benutzerkonten binden.

Richtlinien mit Gruppen konfigurieren

Nachdem Sie Gruppen konfiguriert haben, können Sie das Dialogfeld Gruppe verwenden, um Richtlinien und Einstellungen anzuwenden, die den Benutzerzugriff festlegen. Wenn Sie die lokale Authentifizierung verwenden, erstellen Sie Benutzer und fügen sie Gruppen hinzu, die auf NetScaler Gateway konfiguriert sind. Die Benutzer erben dann die Einstellungen für diese Gruppe.

Im Dialogfeld Gruppe können Sie die folgenden Richtlinien oder Einstellungen für eine Gruppe von Benutzern konfigurieren:

  • Benutzer
  • Richtlinien zur Autorisierung
  • Richtlinien für die Prüfung
  • Sitzungsrichtlinien
  • Traffic-Richtlinien
  • Lesezeichen
  • Intranetanwendungen
  • Intranet-IP-Adressen

In Ihrer Konfiguration haben Sie möglicherweise Benutzer, die zu mehr als einer Gruppe gehören. Darüber hinaus kann jede Gruppe über eine oder mehrere gebundene Sitzungsrichtlinien verfügen, wobei verschiedene Parameter konfiguriert sind. Benutzer, die zu mehr als einer Gruppe gehören, erben die Sitzungsrichtlinien, die allen Gruppen zugewiesen sind, zu denen der Benutzer gehört. Um sicherzustellen, welche Sitzungsrichtlinienbewertung Vorrang vor der anderen hat, müssen Sie die Priorität der Sitzungsrichtlinie festlegen.

Beispielsweise haben Sie Gruppe1, die an eine Sitzungsrichtlinie gebunden ist, die mit der Homepage www.homepage1.com konfiguriert ist. Group2 ist an eine Sitzungsrichtlinie gebunden, die mit der Homepage www.homepage2.com konfiguriert ist. Wenn diese Richtlinien ohne Prioritätsnummer oder mit derselben Prioritätsnummer an entsprechende Gruppen gebunden sind, hängt die Homepage, die Benutzern angezeigt wird, die beiden Gruppen angehören, davon ab, welche Richtlinie zuerst verarbeitet wird. Durch Festlegen einer niedrigeren Prioritätszahl, die höhere Priorität hat, für die Sitzungsrichtlinie mit Homepage www.homepage1.com können Sie sicherstellen, dass Benutzer, die beiden Gruppen angehören, die Homepage www.homepage1.com erhalten.

Wenn Sitzungsrichtlinien keine Prioritätsnummer zugewiesen wurde oder dieselbe Prioritätsnummer hat, wird die Priorität in der folgenden Reihenfolge ausgewertet:

  • Benutzer
  • Gruppe
  • Virtueller Server
  • Global

Wenn Richtlinien an dieselbe Ebene ohne Prioritätsnummer gebunden sind oder wenn die Richtlinien dieselbe Prioritätsnummer haben, entspricht die Reihenfolge der Bewertung der Richtlinienbindungsreihenfolge. Richtlinien, die zuerst an eine Ebene gebunden sind, haben Vorrang vor später gebundenen Richtlinien.

Wenn wir einen Benutzer haben, der an mehrere Gruppen gebunden ist, wobei jede Gruppe IIP gebunden ist, kann der Benutzer kostenlose IP von jeder der gebundenen Gruppen erhalten.

Benutzer und Gruppen erstellen

Konfigurieren Sie die Authentifizierung, Autorisierung und Überwachung lokaler Benutzer mithilfe der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Benutzer aus NetScaler Gateway, erweitern Sie NetScaler Gateway > Benutzerverwaltungund klicken Sie dann auf AAA-Benutzer.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:

    • Um ein neues Benutzerkonto zu erstellen, klicken Sie auf Hinzufügen.
    • Um ein vorhandenes Benutzerkonto zu ändern, wählen Sie das Benutzerkonto aus, und klicken Sie dann auf Öffnen.
  3. Geben Sie im Dialogfeld AAA-Benutzer erstellen in das Textfeld Benutzername einen Namen für den Benutzer ein.
  4. Wenn Sie ein lokal authentifiziertes Benutzerkonto erstellen, deaktivieren Sie das Kontrollkästchen Externe Authentifizierung und geben Sie ein lokales Passwort ein, mit dem sich der Benutzer anmeldet.
  5. Klicken Sie auf Erstellen oder OKund dann auf Schließen. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass der Benutzer erfolgreich konfiguriert wurde.

Konfigurieren Sie lokale Gruppen für Authentifizierung, Autorisierung und Überwachung und fügen Sie ihnen Benutzer hinzu, indem Sie das Konfigurationsprogramm verwenden

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Gruppen von NetScaler Gateway, erweitern Sie NetScaler Gateway > Benutzerverwaltungund klicken Sie dann auf AAA-Gruppen.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Um eine neue Gruppe zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine bestehende Gruppe zu ändern, wählen Sie die Gruppe aus, und klicken Sie dann auf Bearbeiten.
  3. Wenn Sie eine neue Gruppe erstellen, geben Sie im Dialogfeld AAA-Gruppe erstellen in das Textfeld Gruppenname einen Namen für die Gruppe ein.
  4. Klicken Sie rechts im Bereich Erweitert auf AAA-Benutzer.

    • Um der Gruppe einen Benutzer hinzuzufügen, wählen Sie den Benutzer aus, und klicken Sie dann auf Hinzufügen.
    • Um einen Benutzer aus der Gruppe zu entfernen, wählen Sie den Benutzer aus, und klicken Sie dann auf Entfernen.
    • Um ein neues Benutzerkonto zu erstellen und es der Gruppe hinzuzufügen, klicken Sie auf das Plus-Symbol und folgen Sie dann den Anweisungen unter „So konfigurieren Sie die Authentifizierung, Autorisierung und Überwachung lokaler Benutzer mithilfe des Konfigurationsprogramms“. „
  5. Klicken Sie auf Erstellen oder auf OK. Die Gruppe, die Sie erstellt haben, wird auf der Seite AAA-Gruppen angezeigt.

Löschen Sie eine Gruppe mithilfe der GUI

Sie können Benutzergruppen auch aus NetScaler Gateway löschen.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Gruppen aus NetScaler Gateway, erweitern Sie Citrix Gateway > Benutzerverwaltung und klicken Sie dann auf AAA-Gruppen. Wählen Sie im Detailbereich die Gruppe aus, und klicken Sie dann auf Entfernen.

Konfigurieren Sie die Authentifizierung, Autorisierung und Überwachung lokaler Benutzer über die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add aaa group <groupname>

bind aaa group <groupname> -username <username>
<!--NeedCopy-->

Beispiel:

add aaa group group-2

bind aaa group group-2 -username user-2
<!--NeedCopy-->

Entfernen Sie Benutzer mithilfe der Befehlszeilenschnittstelle aus einer Authentifizierungs-, Autorisierungs- und Überwachungsgruppe

Entbinden Sie Benutzer an der Befehlszeile von der Gruppe, indem Sie den folgenden Befehl einmal für jedes Benutzerkonto eingeben, das an die Gruppe gebunden ist:

unbind aaa group <groupname> -username <username><!--NeedCopy-->

**Beispiel:**

<!--NeedCopy-->

unbind aaa group group-hr -username user-hr-1


### Entfernen Sie eine Authentifizierungs-, Autorisierungs- und Überwachungsgruppe mithilfe der Befehlszeilenschnittstelle

Entfernen Sie zunächst alle Benutzer aus der Gruppe. Geben Sie dann an der Befehlszeile den folgenden Befehl ein, um eine NetScaler AAA-Gruppe zu entfernen und die Konfiguration zu überprüfen:

<!--NeedCopy-->

rm aaa group


**Beispiel:**

<!--NeedCopy-->

rm aaa group group-hr


> **Hinweis**
>
>Sie können keinen Benutzernamen mit Domäne hinzufügen, wenn der Benutzername bereits ohne Domäne hinzugefügt wurde. Wenn der Benutzername mit Domäne zuerst hinzugefügt wird, gefolgt von demselben Benutzernamen ohne Domäne, fügt die NetScaler-Appliance den Benutzernamen zur Benutzerliste hinzu.

Das folgende Beispiel zeigt, dass das Hinzufügen eines Benutzernamens mit Domäne nicht zulässig ist, wenn derselbe Benutzername ohne Domäne hinzugefügt wird.

<!--NeedCopy-->

add aaa user u47985 Done show aaa users 1) UserName: u47985 Done add aaa user u47985@domain.com ERROR: User already exists ```

Das folgende Beispiel zeigt, wenn der Benutzername mit Domäne zuerst gefolgt von demselben Benutzernamen ohne Domäne hinzugefügt wird, dann fügt die NetScaler Appliance den Benutzernamen zur Benutzerliste hinzu.

> add aaa user u47985@domain.com
Done
> add aaa user u47985
Done
> sh aaa user
1)   UserName: u47985@domain.com
2)   UserName: u47985

```

Benutzer und Gruppen