Application Delivery Management

Gruppen konfigurieren

February 5, 2024

Beitrag von:

In NetScaler ADM kann eine Gruppe sowohl auf Feature- als auch auf Ressourcenebene zugreifen. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte NetScaler-Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in NetScaler ADM dieselben Zugriffsrechte zugewiesen.

Sie können einen Benutzerzugriff in NetScaler ADM auf der einzelnen Ebene von Netzwerkfunktionsentitäten verwalten. Sie können dem Benutzer oder der Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen.

NetScaler ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktions-Entitäten.

Virtueller Server (Anwendungen) — Load Balancing (lb), GSLB, Context Switching (CS), Cache-Umleitung (CR), Authentifizierung (Auth) und NetScaler Gateway (VPN)
Services - Lastenausgleich und GSLB-Dienste
Dienstgruppe — Load Balancing und GSLB-Dienstgruppen
Server — Load Balancing-Server

Erstellen einer Benutzergruppe

Navigieren Sie in NetScaler ADM zu Einstellungen > Benutzer und Rollen Gruppen.
Klicken Sie auf Hinzufügen.

Die Seite Systemgruppe erstellen wird angezeigt.
Geben Sie im Feld Gruppenname den Namen der Gruppe ein. Die maximal zulässige Länge beträgt 64 Zeichen.
Geben Sie im FeldGruppenbeschreibung eine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung der Gruppe hilft Ihnen, die Rolle und Funktion der Gruppe zu einem späteren Zeitpunkt besser zu verstehen.
Fügen Sie im Abschnitt Rollen eine oder mehrere Rollen zur Liste Konfiguriert hinzu oder verschieben Sie sie.

Hinweis:

Unter der Liste Verfügbar können Sie auf Neu oder Bearbeiten klicken und Rollen erstellen oder ändern. Alternativ können Sie zu Einstellungen > Benutzer und Rollen > Benutzer navigieren und Benutzer erstellen oder ändern.
Wählen Sie Benutzersitzungs-Timeout konfigurieren, um den Zeitraum zu konfigurieren, in dem ein Benutzer aktiv bleiben soll.

Wenn diese Option aktiviert ist, geben Sie die folgenden Parameter an:
- Sitzungs-Timeout: Geben Sie den Zeitraum ein, für den eine Benutzersitzung aktiv bleiben muss. Der Standardwert ist 15.
- Sitzungs-Timeout-Einheit: Wählen Sie die Timeout-Einheit in Minuten oder Stunden aus der Liste aus. Der Standardwert ist Minuten.
Geben Sie im Feld Benutzersitzungslimit die maximale Anzahl von Sitzungen ein, die pro Benutzer zulässig sind.

Hinweis:

Sie können bis zu 40 Benutzersitzungen konfigurieren. Standardmäßig sind Ihnen 20 Benutzersitzungen zugewiesen. Wenn Sie jedoch zu den Benutzergruppen Admin und Read-Only gehören, werden Ihnen standardmäßig 40 Benutzersitzungen zugewiesen, und dieser Wert kann nicht geändert werden.

Systemgruppe erstellen

Klicken Sie auf Weiter.Auf der Registerkarte Autorisierungseinstellungen können Sie Autorisierungseinstellungen für die folgenden Ressourcen angeben:
- Autoscale-Gruppen
- Instanzen
- Anwendungen
- Konfigurationsvorlagen
- StyleBooks
- Konfigurationspakete
- Domänennamen
Möglicherweise möchten Sie bestimmte Ressourcen aus den Kategorien auswählen, auf die Benutzer Zugriff haben können.

Autoscale-Gruppen:

Wenn Sie die spezifischen Autoscale-Gruppen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, gehen Sie wie folgt vor:
1. Deaktivieren Sie das Kontrollkästchen Alle AutoScale-Gruppen und klicken Sie auf AutoScale-Gruppen hinzufügen.
2. Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie auf OK.
Instanzen:

Wenn Sie die spezifischen Instanzen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
1. Deaktivieren Sie das Kontrollkästchen Alle Instanzen und klicken Sie auf Instanzen auswählen.
2. Wählen Sie die erforderlichen Instanzen aus der Liste aus und klicken Sie auf OK.
Anwendungen:

In der Liste Anwendungen auswählen können Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.

Sie können Anwendungen Zugriff gewähren, ohne deren Instanzen auszuwählen. Wenn Sie einem Benutzer Zugriff auf eine Anwendung gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.

Die folgenden Optionen sind verfügbar:
- Alle Anwendungen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die im NetScaler ADM vorhanden sind.
- Alle Anwendungen ausgewählter Instanzen: Diese Option wird nur angezeigt, wenn Sie Instanzen aus der Kategorie Alle Instanzen auswählen. Es fügt alle Anwendungen hinzu, die auf der ausgewählten Instanz vorhanden sind.
- Bestimmte Anwendungen: Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie auf Anwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.
- Individuellen Entitätstyp auswählen: Mit dieser Option können Sie einen bestimmten Typ von Netzwerkfunktionsentität und entsprechende Entitäten auswählen.
  
  Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.
  
  Die Option Auch auf gebundene Entitäten anwenden autorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen und die Option Auch auf gebundene Entitäten anwendenauswählen, autorisiert NetScaler ADM alle Entitäten, die an die ausgewählte Anwendung gebunden sind.
  
  Hinweis:
  
  Um gebundene Entitäten zu autorisieren, wählen Sie nur einen Entitätstyp aus.
Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsentitäten zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in NetScaler ADM beibehalten. Gehen Sie wie folgt vor, um einen regulären Ausdruck hinzuzufügen:
1. Klicken Sie auf Regulären Ausdruck hinzufügen.
2. Geben Sie den regulären Ausdruck im Textfeld an.
  
  In der folgenden Abbildung wird erklärt, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die Option Spezifische Anwendungen auswählen:
  
  In der folgenden Abbildung wird erläutert, wie Sie regulären Ausdruck verwenden, um Netzwerkfunktionsobjekte hinzuzufügen, wenn Sie die Option Individuelle Entitätstyp auswählen auswählen:
Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol + .

Hinweis:

Der reguläre Ausdruck entspricht nur dem Servernamen für den Entitätstyp Server und nicht der Server-IP-Adresse.

Wenn Sie die Option Auch auf gebundene Entitäten anwenden für eine erkannte Entität auswählen, kann ein Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.

Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, aktualisiert NetScaler ADM den Autorisierungsbereich auf die neuen Entitäten.

Vorlagen für die Konfiguration:

Wenn Sie die spezifische Konfigurationsvorlage auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
1. Deaktivieren Sie das Kontrollkästchen Alle Konfigurationsvorlagen und klicken Sie auf Konfigurationsvorlage hinzufügen.
2. Wählen Sie die gewünschte Vorlage aus der Liste aus und klicken Sie auf OK.
StyleBooks:

Wenn Sie das spezifische StyleBook auswählen möchten, das ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
1. Deaktivieren Sie das Kontrollkästchen Alle StyleBooks und klicken Sie auf StyleBook zur Gruppe hinzufügen. Sie können entweder einzelne StyleBooks auswählen oder eine Filterabfrage angeben, um StyleBooks zu autorisieren.
  
  Wenn Sie die einzelnen StyleBooks auswählen möchten, wählen Sie die StyleBooks im Bereich Einzelne StyleBooks aus und klicken Sie auf Auswahl speichern.
  
  Wenn Sie eine Abfrage zum Durchsuchen von StyleBooks verwenden möchten, wählen Sie den Bereich Benutzerdefinierte Filter aus. Eine Abfrage ist eine Zeichenfolge von Schlüssel-Wert-Paaren, wobei Schlüssel name, namespace und version sind.
  
  Sie können reguläre Ausdrücke auch als Werte verwenden, um StyleBooks zu suchen und hinzuzufügen, die Regex-Kriterien für die Gruppen erfüllen. Eine benutzerdefinierte Filterabfrage zum Durchsuchen von StyleBooks unterstützt sowohl die Operation And als auch Or.
  
  Beispiel:
```
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0

```
  Diese Query listet die StyleBooks auf, die die folgenden Bedingungen erfüllen:
  - StyleBook-Name ist entweder lb-mon oder lb.
  - StyleBook Namespace ist com.citrix.adc.stylebooks.
  - StyleBook-Version ist 1.0.
  Verwenden Sie eine Or-Operation zwischen Werteausdrücken, die für den Schlüsselausdruck definiert ist.
  
  Beispiel:
  - Die Abfrage name=lb-mon|lb ist gültig. Es gibt die StyleBooks zurück, die einen Namen lb-mon oder lb haben.
  - Die Abfrage name=lb-mon | version=1.0 ist ungültig.
  Drücken Sie Enter, um die Suchergebnisse anzuzeigen, und klicken Sie auf Abfrage speichern.
  
  Die gespeicherte Abfrage wird in der Abfrage “ Benutzerdefinierte Filter”angezeigt. Basierend auf der gespeicherten Abfrage bietet das ADM dem Benutzer Zugriff auf diese StyleBooks.
2. Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie auf OK.
  
  Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt.
Konfigurationspakete:

Wählen Sie in Config Packs eine der folgenden Optionen aus:
- Alle Konfigurationen: Diese Option ist standardmäßig ausgewählt. Es ermöglicht Benutzern, alle Konfigurationen zu verwalten, die sich in ADM befinden.
- Alle Konfigurationen der ausgewählten StyleBooks: Diese Option fügt alle Konfigurationspakete des ausgewählten StyleBook hinzu.
- Spezifische Konfigurationen: Mit dieser Option können Sie spezifische Konfigurationen für jedes StyleBook hinzufügen.
- Alle von der Benutzergruppe erstellten Konfigurationen: Mit dieser Option können Benutzer nur auf Konfigurationen zugreifen, die von Benutzern derselben Gruppe erstellt wurden.
  
  Sie können die entsprechenden Config Packs auswählen, wenn Sie Gruppen erstellen und dieser Gruppe Benutzer zuweisen.
Domänennamen:

Wenn Sie den spezifischen Domänennamen auswählen möchten, den ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
1. Deaktivieren Sie das Kontrollkästchen Alle Domänennamen und klicken Sie auf Domänennamen hinzufügen.
2. Wählen Sie die erforderlichen Domänennamen aus der Liste aus und klicken Sie auf OK.
Klicken Sie auf Gruppe erstellen.
Wählen Sie im Abschnitt Benutzer zuweisen den Benutzer in der Liste Verfügbar aus, und fügen Sie den Benutzer zur Liste Konfiguriert hinzu.

Hinweis:

Sie können Benutzer auch hinzufügen, indem Sie auf Neuklicken.
Klicken Sie auf Fertig stellen.

Verwaltung des Benutzerzugriffs über mehrere Netzwerkfunktionsentitäten

Als Administrator können Sie den Benutzerzugriff auf der einzelnen Ebene der Netzwerkfunktionsentitäten in NetScaler ADM verwalten. Und Sie können dem Benutzer oder einer Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen, indem Sie den Filter für reguläre Ausdrücke verwenden.

In diesem Dokument wird beschrieben, wie die Benutzerautorisierung auf Entitätsebene definiert wird.

Bevor Sie beginnen, erstellen Sie eine Gruppe. Weitere Informationen finden Sie unter Konfigurieren von Gruppen in NetScaler ADM .

Verwendungsszenario:

Stellen Sie sich ein Szenario vor, in dem eine oder mehrere Anwendungen (virtuelle Server) auf demselben Server gehostet werden. Ein Superadministrator (George) möchte Steve (einem Anwendungsadministrator) nur Zugriff auf App1 und nicht auf den Hosting-Server gewähren.

Die folgende Tabelle zeigt diese Umgebung, in der Server-A die Anwendungen App-1 und App-2 hostet.

Host-Server	Anwendung (virtueller Server)	Service	Service-Gruppe
Server A	App 1	App-service-1	App-service-group-1
Server A	App 2	App-service-2	App-service-group-2

Hinweis

NetScaler ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktionsentitäten. Der virtuelle Server vom Entitätstyp wird als Anwendung bezeichnet.

Um Netzwerkfunktionsentitäten Benutzerberechtigungen zuzuweisen, definiert George die Benutzerautorisierung wie folgt:

Navigieren Sie zu Konto > Benutzerverwaltung > Gruppen und fügen Sie eine Gruppe hinzu.
Wählen Sie auf der Registerkarte Autorisierungseinstellungen die Option Anwendungen auswählen aus.
Wählen Sie Select Individual Entity Type.
Wählen Sie den Entitätstyp Alle Anwendungen aus und fügen Sie die App-1-Entität aus der verfügbaren Liste hinzu.
Klicken Sie auf Gruppe erstellen.
Wählen Sie unter Benutzer zuweisen die Benutzer aus, die die Berechtigung benötigen. Für dieses Szenario wählt George Steves Benutzerprofil aus.
Klicken Sie auf Fertig stellen.

Mit dieser Autorisierungseinstellung kann Steve nur App-1 und keine anderen Netzwerkfunktionsentitäten verwalten.

Hinweis:

Stellen Sie sicher, dass die Option Auch auf gebundene Entitäten anwenden deaktiviert ist. Andernfalls gewährt NetScaler ADM Zugriff auf alle Netzwerkfunktionsentitäten, die an App-1 gebunden sind. Dadurch wird auch Zugriff auf den Hosting-Server gewährt.

Ein Superadministrator kann die regulären Ausdrücke (Regex) für jeden Entitätstyp angeben. Der reguläre Ausdruck wird im System gespeichert, um den Umfang der Benutzerautorisierung zu aktualisieren. Wenn neue Entitäten dem regulären Ausdruck ihres Entitätstyps entsprechen, kann NetScaler ADM Benutzern dynamisch Zugriff auf die spezifischen Netzwerkfunktionsentitäten gewähren.

Um Benutzerberechtigungen dynamisch zu gewähren, kann der Superadministrator reguläre Ausdrücke auf der Registerkarte Autorisierungseinstellungen hinzufügen.

In diesem Szenario fügt George App* als regulären Ausdruck für den Entitätstyp Applications hinzu und die Anwendungen, die den Regex-Kriterien entsprechen, werden in der Liste angezeigt. Mit dieser Autorisierungseinstellung kann Steve auf alle Anwendungen zugreifen, die dem Regex App* entsprechen. Sein Zugriff ist jedoch nur auf die Anwendungen beschränkt, nicht auf den gehosteten Server.

Wie sich der Benutzerzugriff basierend auf dem Berechtigungsumfang ändert

Wenn ein Administrator einen Benutzer zu einer Gruppe hinzufügt, die über unterschiedliche Zugriffsrichtlinieneinstellungen verfügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.

In diesem Fall gewährt das ADM dem Benutzer je nach dem spezifischen Autorisierungsumfang Zugriff auf Anwendungen.

Stellen Sie sich einen Benutzer vor, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.

Policy-1 — Nur Berechtigungen für Anwendungen anzeigen.
Policy-2 — Anzeigen und Bearbeiten der Berechtigung für Anwendungen.

Änderungen des Benutzerzugriffs mit Autorisierungsbereichen

Der Benutzer kann die in Policy-1 angegebenen Anwendungen anzeigen. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter den Autorisierungsbereich der Gruppe 1 fällt.

Zuordnung von RBAC beim Upgrade von NetScaler ADM von 12.0 auf spätere Releases

Wenn Sie NetScaler ADM von 12.0 auf 13.1 aktualisieren, werden beim Erstellen von Gruppen keine Optionen zum Bereitstellen von “Lese-“ oder “Lese” -Berechtigungen angezeigt. Diese Berechtigungen werden durch „Rollen und Zugriffsrichtlinien“ ersetzt, die Ihnen mehr Flexibilität bieten, um den Benutzern rollenbasierte Berechtigungen zu erteilen. Die folgende Tabelle zeigt, wie die Berechtigungen in Version 12.0 Version 13.1 zugeordnet werden:

12.0	Nur Anwendungen zulassen	13.1
Admin Lese-/Schreibzugriff	False	`admin`
Admin Lese-/Schreibzugriff	True	`appAdmin`
Admin schreibgeschützt	False	`readonly`
Admin schreibgeschützt	True	`appReadonly`

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Gruppen konfigurieren

February 5, 2024

Beitrag von:

February 5, 2024

Beitrag von:

In diesem Artikel

Erstellen einer Benutzergruppe
Wie sich der Benutzerzugriff basierend auf dem Berechtigungsumfang ändert
Zuordnung von RBAC beim Upgrade von NetScaler ADM von 12.0 auf spätere Releases

War dieser Artikel hilfreich?