Richtlinien zur Autorisierung
Wenn Sie eine Autorisierungsrichtlinie konfigurieren, können Sie festlegen, dass sie den Zugriff auf Netzwerkressourcen im internen Netzwerk erlaubt oder verweigert. Verwenden Sie beispielsweise den folgenden Ausdruck, um Benutzern Zugriff auf das 10.3.3.0-Netzwerk zu gewähren:
CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)
Autorisierungsrichtlinien werden auf Benutzer und Gruppen angewendet. Nachdem ein Benutzer authentifiziert wurde, führt NetScaler Gateway eine Gruppenautorisierungsprüfung durch, indem die Gruppeninformationen des Benutzers entweder von einem RADIUS-, LDAP- oder TACACS+-Server abgerufen werden. Wenn Gruppeninformationen für den Benutzer verfügbar sind, überprüft NetScaler Gateway die für die Gruppe zulässigen Netzwerkressourcen.
Um zu steuern, auf welche Ressourcen Benutzer zugreifen können, müssen Sie Autorisierungsrichtlinien erstellen. Wenn Sie keine Autorisierungsrichtlinien erstellen müssen, können Sie die globale Standardermächtigung konfigurieren.
Wenn Sie innerhalb der Autorisierungsrichtlinie einen Ausdruck erstellen, der den Zugriff auf einen Dateipfad verweigert, können Sie nur den Pfad des Unterverzeichnisses und nicht das Stammverzeichnis verwenden. Verwenden Sie zum Beispiel fs.path enthält “\\ dir1\\ dir2” anstelle von fs.path enthält “\\ rootdir\\ dir1\\ dir2”. Wenn Sie in diesem Beispiel die zweite Version verwenden, schlägt die Richtlinie fehl.
Nachdem Sie die Autorisierungsrichtlinie konfiguriert haben, binden Sie sie an einen Benutzer oder eine Gruppe.
Standardmäßig werden Autorisierungsrichtlinien zuerst anhand von Richtlinien validiert, die Sie an den virtuellen Server binden, und dann gegen global gebundene Richtlinien. Wenn Sie eine Richtlinie global binden und möchten, dass die globale Richtlinie Vorrang vor einer Richtlinie hat, die Sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden, können Sie die Prioritätsnummer der Richtlinie ändern. Prioritätszahlen beginnen bei Null. Eine niedrigere Prioritätszahl gibt der Richtlinie eine höhere Priorität.
Wenn die globale Richtlinie beispielsweise eine Prioritätsnummer von eins hat und der Benutzer eine Priorität von zwei hat, wird zuerst die globale Authentifizierungsrichtlinie angewendet.
Wichtig:
- Klassische Autorisierungsrichtlinien werden nur auf TCP-Verkehr angewendet.
Erweiterte Autorisierungsrichtlinie kann auf alle Arten von Datenverkehr (TCP/UDP/ICMP/DNS) angewendet werden.
To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.
- While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
- The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.
Weitere Einzelheiten zu erweiterten Autorisierungsrichtlinien finden Sie im Artikel https://support.citrix.com/article/CTX232237.
Autorisierungsrichtlinie konfigurieren und binden
Konfigurieren Sie eine Autorisierungsrichtlinie mithilfe der GUI
- Navigieren Sie zu NetScaler Gateway > Richtlinien > Autorisierung.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Wählen Sie unter Aktion die Option Zulassen oder Verweigern aus.
- Klicken Sie in Expression auf Expression Editor.
- Um die Ausdrücke zu konfigurieren, klicken Sie auf Auswählen und wählen Sie die erforderlichen Elemente aus.
Im Folgenden finden Sie einige Ausdrucksbeispiele:
-
HTTP.REQ.USER.IS_MEMBER_OF(\"AllowedGroup\")
- Sie können einem Benutzer den Zugriff gewähren oder verweigern, wenn der Benutzer Mitglied der Benutzergruppe AllowedGroup ist. -
CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20)
- Sie können den Zugriff zulassen oder verweigern, wenn die Ziel-IP-Adresse des Clients in einem bestimmten Bereich liegt. -
HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25)
- Sie können dem Benutzer den Zugriff gewähren oder verweigern, wenn der Hostname seiner HTTP-Anfrage den Text “portal-serv” enthält oder wenn sich die Ziel-IP-Adresse des Client-Geräts im Subnetz 10.102.75.0/25 befindet.
-
- Klicken Sie auf Fertig, wenn Ihr Ausdruck vollständig ist.
- Klicken Sie auf Erstellen.
Binden Sie mithilfe der GUI eine Autorisierungsrichtlinie an einen Benutzer
- Navigieren Sie zu NetScaler Gateway > Benutzerverwaltung.
- Klicken Sie auf AAA-Benutzer.
- Wählen Sie im Detailbereich einen Benutzer aus und klicken Sie dann auf Bearbeiten.
- Klicken Sie in Erweiterte Einstellungenauf Autorisierungsrichtlinien.
- Wählen Sie auf der Seite Policy Binding eine Richtlinie aus oder erstellen Sie eine Richtlinie.
- Legen Sie unter Prioritätdie Prioritätsnummer fest.
- Wählen Sie unter Typden Anforderungstyp aus und klicken Sie dann auf OK.
Binden Sie mithilfe der GUI eine Autorisierungsrichtlinie an eine Gruppe
- Navigieren Sie zu NetScaler Gateway > Benutzerverwaltung.
- Klicken Sie auf AAA-Gruppen.
- Wählen Sie im Detailbereich eine Gruppe aus und klicken Sie dann auf Bearbeiten.
- Klicken Sie in Erweiterte Einstellungenauf Autorisierungsrichtlinien.
- Wählen Sie auf der Seite Policy Binding eine Richtlinie aus oder erstellen Sie eine Richtlinie.
- Legen Sie unter Prioritätdie Prioritätsnummer fest.
- Wählen Sie unter Typden Anforderungstyp aus und klicken Sie dann auf OK.
Die Autorisierung gibt die Netzwerkressourcen an, auf die Benutzer zugreifen können, wenn sie sich bei NetScaler Gateway anmelden. Die Standardeinstellung für die Autorisierung besteht darin, den Zugriff auf alle Netzwerkressourcen zu verweigern. Citrix empfiehlt, die globale Standardeinstellung zu verwenden und dann Autorisierungsrichtlinien zu erstellen, um die Netzwerkressourcen zu definieren, auf die Benutzer zugreifen können.
Sie konfigurieren die Autorisierung auf NetScaler Gateway mithilfe einer Autorisierungsrichtlinie und Ausdrücken. Nachdem Sie eine Autorisierungsrichtlinie erstellt haben, können Sie sie an die Benutzer oder Gruppen binden, die Sie auf der Appliance konfiguriert haben.
Globale Standardautorisierung
Um die Ressourcen zu definieren, auf die Benutzer Zugriff im internen Netzwerk haben, können Sie die globale Standardermächtigung konfigurieren. Sie konfigurieren die globale Autorisierung, indem Sie den Zugriff auf Netzwerkressourcen global im internen Netzwerk zulassen oder verweigern.
Jede globale Autorisierungsaktion, die Sie erstellen, wird auf alle Benutzer angewendet, denen weder direkt noch über eine Gruppe eine Autorisierungsrichtlinie zugeordnet ist. Eine Benutzer- oder Gruppenautorisierungsrichtlinie überschreibt immer die globale Autorisierungsaktion. Wenn die Standardautorisierungsaktion auf Verweigern gesetzt ist, müssen Sie Autorisierungsrichtlinien für alle Benutzer oder Gruppen anwenden, um diesen Benutzern oder Gruppen den Zugriff auf Netzwerkressourcen zu ermöglichen. Diese Anforderung trägt zur Verbesserung der Sicherheit bei.
So legen Sie die globale Standardermächtigung fest:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf Globale Einstellungen.
- Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
- Wählen Sie auf der Registerkarte Sicherheit neben Standardermächtigungsaktion die Option Zulassen oder Verweigern aus und klicken Sie auf OK.