Application Delivery Management

Gruppen konfigurieren

In NetScaler ADM kann eine Gruppe sowohl auf Feature- als auch auf Ressourcenebene zugreifen. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte NetScaler ADC-Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in NetScaler ADM dieselben Zugriffsrechte zugewiesen.

Sie können einen Benutzerzugriff in NetScaler ADM auf der einzelnen Ebene von Netzwerkfunktionsentitäten verwalten. Sie können dem Benutzer oder der Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen.

NetScaler ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktions-Entitäten.

  • Virtueller Server (Anwendungen) — Load Balancing (lb), GSLB, Context Switching (CS), Cache-Umleitung (CR), Authentifizierung (Auth) und Citrix Gateway (VPN)

  • Services - Lastenausgleich und GSLB-Dienste
  • Dienstgruppe — Load Balancing und GSLB-Dienstgruppen
  • Server — Load Balancing-Server

Erstellen einer Benutzergruppe

  1. Navigieren Sie in NetScaler ADM zu System > Benutzerverwaltung > Gruppen.

  2. Klicken Sie auf Hinzufügen.

    Die Seite Systemgruppe erstellen wird angezeigt.

  3. Geben Sie im Feld Gruppenname den Namen der Gruppe ein.

  4. Geben Sie im FeldGruppenbeschreibung eine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung der Gruppe hilft Ihnen, die Rolle und Funktion der Gruppe zu einem späteren Zeitpunkt besser zu verstehen.  

  5. Fügen Sie im Abschnitt Rollen eine oder mehrere Rollen zur Liste Konfiguriert hinzu oder verschieben Sie sie.

    Hinweis Unter der Liste Verfügbar können Sie auf Neu oder Bearbeiten klicken und Rollen erstellen oder ändern. Alternativ können Sie zu System > Benutzerverwaltung > Benutzer navigieren und Benutzer erstellen oder ändern.

    Systemgruppe erstellen

  6. Klicken Sie auf Weiter.Auf der Registerkarte Autorisierungseinstellungen können Sie Autorisierungseinstellungen für die folgenden Ressourcen angeben:

    • Autoscale-Gruppen
    • Instanzen
    • Anwendungen
    • Konfigurationsvorlagen
    • StyleBooks
    • Konfigurationspakete
    • Domänennamen

    Kategorien in Autorisierungseinstellungen

    Möglicherweise möchten Sie bestimmte Ressourcen aus den Kategorien auswählen, auf die Benutzer Zugriff haben können.

    Autoscale-Gruppen:

    Wenn Sie die spezifischen Autoscale-Gruppen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, gehen Sie wie folgt vor:

    1. Deaktivieren Sie das Kontrollkästchen Alle AutoScale-Gruppen, und klicken Sie auf AutoScale-Gruppen hinzufügen.

    2. Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie auf OK.

    Instanzen:

    Wenn Sie die spezifischen Instanzen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Instanzen und klicken Sie auf Instanzen auswählen.

    2. Wählen Sie die erforderlichen Instanzen aus der Liste aus und klicken Sie auf OK.

      Instanzen auswählen

    Anwendungen:

    In der Liste Anwendungen auswählen können Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.

    Sie können Anwendungen Zugriff gewähren, ohne deren Instanzen auszuwählen. Weil Anwendungen unabhängig von ihren Instanzen sind, um Benutzerzugriff zu gewähren.

    Wenn Sie einem Benutzer Zugriff auf eine Anwendung gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.

    Diese Liste bietet Ihnen die folgenden Optionen:

    • Alle Anwendungen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die im NetScaler ADM vorhanden sind.

    • Alle Anwendungen ausgewählter Instanzen: Diese Option wird nur angezeigt, wenn Sie Instanzen aus der Kategorie Alle Instanzen auswählen. Es fügt alle Anwendungen hinzu, die auf der ausgewählten Instanz vorhanden sind.

    • Bestimmte Anwendungen: Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie auf Anwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.

    • Individuellen Entitätstyp auswählen: Mit dieser Option können Sie einen bestimmten Typ von Netzwerkfunktionsentität und entsprechende Entitäten auswählen.

      Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.

      Die Option Auch auf gebundene Entitäten anwenden autorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen und auch auf gebundene Entitäten anwendenauswählen, autorisiert Citrix ADM alle Entitäten, die an die ausgewählte Anwendung gebunden sind.

      Hinweis

      Stellen Sie sicher, dass Sie nur einen Entitätstyp ausgewählt haben, wenn Sie gebundene Entitäten autorisieren möchten.

    Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsentitäten zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in NetScaler ADM beibehalten. Führen Sie die folgenden Schritte aus, um reguläre Ausdrücke hinzuzufügen:

    1. Klicken Sie auf Regulären Ausdruck hinzufügen.

    2. Geben Sie den regulären Ausdruck im Textfeld an.

      In der folgenden Abbildung wird erläutert, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die Option Spezifische Anwendungen auswählen:

      Spezifische Anwendungen

      In der folgenden Abbildung wird erläutert, wie Sie regulären Ausdruck verwenden, um Netzwerkfunktionsobjekte hinzuzufügen, wenn Sie die Option Individuelle Entitätstyp auswählen auswählen:

      Entitätstypen für

    Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol + .

    Hinweis:

    Der reguläre Ausdruck stimmt nur mit dem Servernamen für den Entitätstyp Server überein und nicht mit der IP-Adresse des Servers.

    Wenn Sie die Option Auch auf gebundene Entitäten anwenden für eine erkannte Entität auswählen, kann ein Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.

    Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, aktualisiert NetScaler ADM den Autorisierungsbereich auf die neuen Entitäten.

    Vorlagen für die Konfiguration:

    Wenn Sie die spezifische Konfigurationsvorlage auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Konfigurationsvorlagen und klicken Sie auf Konfigurationsvorlage hinzufügen.

    2. Wählen Sie die gewünschte Vorlage aus der Liste aus und klicken Sie auf OK.

      Fügen Sie Konfigurationsvorlagen hinzu

    StyleBooks:

    Wenn Sie das spezifische StyleBook auswählen möchten, das ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle StyleBooks, und klicken Sie auf StyleBook zu Gruppe hinzufügen. Sie können entweder einzelne StyleBooks auswählen oder eine Filterabfrage angeben, um StyleBooks zu autorisieren.

      Wenn Sie die einzelnen StyleBooks auswählen möchten, wählen Sie die StyleBooks im Bereich Einzelne StyleBooks aus und klicken Sie auf Auswahl speichern.

      Wenn Sie eine Abfrage zum Durchsuchen von StyleBooks verwenden möchten, wählen Sie den Bereich Benutzerdefinierte Filter aus. Eine Abfrage ist eine Zeichenfolge von Schlüssel-Wert-Paaren, wobei Schlüssel name, namespace und version sind.

      Sie können reguläre Ausdrücke auch als Werte verwenden, um StyleBooks zu suchen und hinzuzufügen, die Regex-Kriterien für die Gruppen erfüllen. Eine benutzerdefinierte Filterabfrage zum Durchsuchen von StyleBooks unterstützt sowohl die Operation And als auch Or.

      Beispiel:

      name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0
      <!--NeedCopy-->
      

      Diese Query listet die StyleBooks auf, die die folgenden Bedingungen erfüllen:

      • StyleBook-Name ist entweder lb-mon oder lb.
      • StyleBook Namespace ist com.citrix.adc.stylebooks.
      • StyleBook-Version ist 1.0.

      Verwenden Sie eine Or-Operation zwischen Werteausdrücken, die für den Schlüsselausdruck definiert ist.

      Beispiel:

      • Die Abfrage name=lb-mon|lb ist gültig. Es gibt die StyleBooks zurück, die einen Namen lb-mon oder lb haben.
      • Die Abfrage name=lb-mon | version=1.0 ist ungültig.

      Drücken Sie Enter, um die Suchergebnisse anzuzeigen, und klicken Sie auf Abfrage speichern.

      Benutzerdefinierte Filter

      Die gespeicherte Abfrage wird in der Abfrage “ Benutzerdefinierte Filter”angezeigt. Basierend auf der gespeicherten Abfrage bietet das ADM dem Benutzer Zugriff auf diese StyleBooks.

    2. Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie auf OK.

      StyleBooks wählen

      Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt.

    Konfigurationspakete:

    Wählen Sie in Configpacks eine der folgenden Optionen aus:

    • Alle Konfigurationen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Konfigurationspakete hinzu, die in ADM enthalten sind.

    • Alle Konfigurationen der ausgewählten StyleBooks: Diese Option fügt alle Konfigurationspakete des ausgewählten StyleBook hinzu.

    • Spezifische Konfigurationen: Mit dieser Option können Sie die erforderlichen Konfigurationspakete hinzufügen.

      Wählen Sie ein Konfigurationspaket

      Sie können die erforderlichen Konfigurationspakete auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen.

    Domänennamen:

    Wenn Sie den spezifischen Domänennamen auswählen möchten, den ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Domainnamen und klicken Sie auf Domainnamen hinzufügen.

    2. Wählen Sie die erforderlichen Domänennamen aus der Liste aus und klicken Sie auf OK.

  7. Klicken Sie auf Gruppe erstellen.

  8. Wählen Sie im Abschnitt Benutzer zuweisen den Benutzer in der Liste Verfügbar aus, und fügen Sie den Benutzer zur Liste Konfiguriert hinzu.

    Hinweis:

    Sie können Benutzer auch hinzufügen, indem Sie auf Neuklicken.

    Beispiel für die Erstellung einer Systemgruppe

  9. Klicken Sie auf Fertig stellen.

Verwaltung des Benutzerzugriffs über mehrere Netzwerkfunktionsentitäten

Als Administrator können Sie den Benutzerzugriff auf der einzelnen Ebene der Netzwerkfunktionsentitäten in Citrix ADM verwalten. Und Sie können dem Benutzer oder einer Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen, indem Sie den Filter für reguläre Ausdrücke verwenden.

In diesem Dokument wird beschrieben, wie die Benutzerautorisierung auf Entitätsebene definiert wird.

Bevor Sie beginnen, erstellen Sie eine Gruppe. Weitere Informationen finden Sie unter Konfigurieren von Gruppen in NetScaler ADM .

Verwendungsszenario:

Stellen Sie sich ein Szenario vor, in dem eine oder mehrere Anwendungen (virtuelle Server) auf demselben Server gehostet werden. Ein Superadministrator (George) möchte Steve (einem Anwendungsadministrator) nur Zugriff auf App1 und nicht auf den Hosting-Server gewähren.

Die folgende Tabelle zeigt diese Umgebung, in der Server-A die Anwendungen App-1 und App-2 hostet.

Host-Server Anwendung (virtueller Server) Service Service-Gruppe
Server A App 1 App-service-1 App-service-group-1
Server A App 2 App-service-2 App-service-group-2

Hinweis

Citrix ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktionsentitäten. Der virtuelle Server vom Entitätstyp wird als Anwendung bezeichnet.

Um Netzwerkfunktionsentitäten Benutzerberechtigungen zuzuweisen, definiert George die Benutzerautorisierung wie folgt:

  1. Navigieren Sie zu Konto > Benutzerverwaltung > Gruppen und fügen Sie eine Gruppe hinzu.

  2. Wählen Sie auf der Registerkarte Autorisierungseinstellungen die Option Anwendungen auswählen aus.

  3. Wählen Sie Select Individual Entity Type.

  4. Wählen Sie den Entitätstyp Alle Anwendungen aus und fügen Sie die App-1-Entität aus der verfügbaren Liste hinzu.

  5. Klicken Sie auf Gruppe erstellen.

  6. Wählen Sie unter Benutzer zuweisen die Benutzer aus, die die Berechtigung benötigen. Für dieses Szenario wählt George Steves Benutzerprofil aus.

  7. Klicken Sie auf Fertig stellen.

Mit dieser Autorisierungseinstellung kann Steve nur App-1 und keine anderen Netzwerkfunktionsentitäten verwalten.

Hinweis:

Stellen Sie sicher, dass die Option Auch auf gebundene Entitäten anwenden deaktiviert ist. Andernfalls gewährt Citrix ADM Zugriff auf alle Netzwerkfunktionsentitäten, die an App-1 gebunden sind. Dadurch wird auch Zugriff auf den Hosting-Server gewährt.

Ein Superadministrator kann die regulären Ausdrücke (Regex) für jeden Entitätstyp angeben. Der reguläre Ausdruck wird im System gespeichert, um den Umfang der Benutzerautorisierung zu aktualisieren. Wenn neue Entitäten dem regulären Ausdruck ihres Entitätstyps entsprechen, kann Citrix ADM Benutzern dynamisch Zugriff auf die spezifischen Netzwerkfunktionsentitäten gewähren.

Um Benutzerberechtigungen dynamisch zu gewähren, kann der Superadministrator reguläre Ausdrücke auf der Registerkarte Autorisierungseinstellungen hinzufügen.

In diesem Szenario fügt George App* als regulären Ausdruck für den Entitätstyp Applications hinzu und die Anwendungen, die den Regex-Kriterien entsprechen, werden in der Liste angezeigt. Mit dieser Autorisierungseinstellung kann Steve auf alle Anwendungen zugreifen, die dem Regex App* entsprechen. Sein Zugriff ist jedoch nur auf die Anwendungen beschränkt, nicht auf den gehosteten Server.

Wie sich der Benutzerzugriff basierend auf dem Berechtigungsumfang ändert

Wenn ein Administrator einen Benutzer zu einer Gruppe hinzufügt, die über unterschiedliche Zugriffsrichtlinieneinstellungen verfügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.

In diesem Fall gewährt das ADM dem Benutzer je nach dem spezifischen Autorisierungsumfang Zugriff auf Anwendungen.

Stellen Sie sich einen Benutzer vor, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.

  • Policy-1 — Nur Berechtigungen für Anwendungen anzeigen.

  • Policy-2 — Anzeigen und Bearbeiten der Berechtigung für Anwendungen.

Änderungen des Benutzerzugriffs mit Autorisierungsbereichen

Der Benutzer kann die in Policy-1 angegebenen Anwendungen anzeigen. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter den Autorisierungsbereich der Gruppe 1 fällt.

Zuordnung von RBAC beim Upgrade von NetScaler ADM von 12.0 auf spätere Releases

Wenn Sie Citrix ADM von 12.0 auf 13.0 aktualisieren, werden Ihnen beim Erstellen von Gruppen keine Optionen zur Bereitstellung von Lese-Schreib- oder Leserechten angezeigt. Diese Berechtigungen wurden durch “Rollen und Zugriffsrichtlinien” ersetzt, wodurch Sie den Benutzern mehr Flexibilität bieten können, rollenbasierte Berechtigungen bereitzustellen. Die folgende Tabelle zeigt, wie die Berechtigungen in Version 12.0 Version 13.0 zugeordnet sind:

12.0 Nur Anwendungen zulassen 13.0
Admin Lese-/Schreibzugriff False admin
Admin Lese-/Schreibzugriff True appAdmin
Admin schreibgeschützt False readonly
Admin schreibgeschützt True appReadonly
Gruppen konfigurieren