Gateway

Richtlinien und Profile für die Vorauthentifizierung

Wichtig:

Die Endpunktanalyse dient dazu, das Benutzergerät anhand vorab festgelegter Konformitätskriterien zu analysieren. Die Sicherheit der Endbenutzergeräte wird nicht erzwungen oder validiert. Es wird empfohlen, Endpunktsicherheitssysteme zu verwenden, um Geräte vor lokalen Administratorangriffen zu schützen.

Sie können NetScaler Gateway so konfigurieren, dass die Geräte eines Benutzers überprüft werden, bevor sie bei NetScaler Gateway authentifiziert werden. Dies kann verwendet werden, um den Zugriff einzuschränken, wenn das Gerät des Benutzers die Anforderungen Ihres Unternehmens nicht erfüllt. Geräteprüfungen können mithilfe individueller Richtlinien implementiert werden, die für einen virtuellen Server spezifisch sind, oder global, wie in den folgenden beiden Verfahren beschrieben.

Vorauthentifizierungsrichtlinien bestehen aus einem Profil und einem Ausdruck. Sie konfigurieren das Profil so, dass ein Ausdruck verwendet wird, um die Ausführung eines Prozesses auf dem Benutzergerät zuzulassen oder zu verweigern. Beispielsweise wird die Textdatei clienttext.txt auf dem Gerät des Benutzers ausgeführt. Wenn sich der Benutzer bei NetScaler Gateway anmeldet, können Sie den Zugriff zulassen oder verweigern, je nachdem, ob die Textdatei ausgeführt wird. Wenn Sie Benutzern nicht erlauben möchten, sich während der Ausführung des Prozesses anzumelden, können Sie ein Vorauthentifizierungsprofil so konfigurieren, dass der Prozess angehalten wird, bevor sich Benutzer anmelden.

Sie können die folgenden Einstellungen für Richtlinien vor der Authentifizierung konfigurieren:

  • Expression. Beinhaltet die folgenden Einstellungen, die Ihnen beim Erstellen von Ausdrücken helfen:
    • Expression. Zeigt alle Ausdrücke an.
    • Entsprechen Sie einem beliebigen Ausdruck. Konfiguriert die Richtlinie so, dass sie mit einem der Ausdrücke übereinstimmt, die in der Liste der ausgewählten Ausdrücke enthalten sind.
    • Entspricht allen Ausdrücken. Konfiguriert die Richtlinie so, dass sie mit allen Ausdrücken übereinstimmt, die in der Liste der ausgewählten Ausdrücke enthalten sind.
    • Tabellarische Ausdrücke. Erstellt mithilfe der OR (||) or AND (&&) Operatoren einen zusammengesetzten Ausdruck mit den vorhandenen Ausdrücken.
    • Fortgeschrittene Freiform. Erstellt mithilfe der Ausdrucksnamen und der OR (||) and AND (&&) Operatoren benutzerdefinierte zusammengesetzte Ausdrücke. Wählen Sie nur die Ausdrücke aus, die Sie benötigen, und lassen Sie andere Ausdrücke aus der Liste der ausgewählten Ausdrücke aus.
    • Add. Erzeugt einen Ausdruck.
    • Modifizieren. Ändert einen vorhandenen Ausdruck.
    • Remove. Entfernt den ausgewählten Ausdruck aus der Liste zusammengesetzter Ausdrücke.
    • Benannte Ausdrücke. Wählen Sie einen konfigurierten benannten Ausdruck. Sie können benannte Ausdrücke aus dem Menü der Ausdrücke auswählen, die bereits auf NetScaler Gateway vorhanden sind.
    • Ausdruck hinzufügen. Fügt der Richtlinie den ausgewählten benannten Ausdruck hinzu.
    • Ersetzen Sie den Ausdruck. Ersetzt den ausgewählten benannten Ausdruck durch die Richtlinie.
    • Vorschau des Ausdrucks. Zeigt die detaillierte Zeichenfolge an, die auf NetScaler Gateway konfiguriert ist, wenn Sie einen benannten Ausdruck auswählen.

Vorauthentifizierungsprofil konfigurieren

So konfigurieren Sie ein Vorauthentifizierungsprofil global über die GUI

  1. Klicken Sie auf der Registerkarte Konfiguration auf NetScaler Gateway und dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Vorauthentifizierungseinstellungen ändern.
  3. Konfigurieren Sie im Dialogfeld Globale Einstellungen für die Vorauthentifizierung die Einstellungen:
    1. Wählen Sie unter Aktiondie Option Zulassen oder Verweigernaus.

      Verweigert oder ermöglicht Benutzern die Anmeldung nach dem Auftreten der Endpoint Analysis.

    2. Geben Sie im Feld Zu stornierende Prozesseden Prozess ein.

      Dies gibt die Prozesse an, die das Endpoint Analysis-Plug-in beenden muss.

    3. Geben Sie im Feld Zu löschende Dateienden Dateinamen ein.

      Dies gibt die Dateien an, die das Endpoint Analysis-Plug-in löschen muss. Wenn Sie einen Prozess löschen oder abbrechen, wird den Endbenutzern eine Benachrichtigung angezeigt.

      Prozess gelöscht

  4. In Ausdruck können Sie den Ausdruck ns_true beibehalten oder einen Ausdruck für eine bestimmte Anwendung erstellen, z. B. Antiviren- oder Sicherheitssoftware, und dann auf OKklicken.

So konfigurieren Sie ein Vorauthentifizierungsprofil über die GUI

  1. Navigieren Sie zu NetScaler Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
  2. Klicken Sie im Detailbereich auf der Registerkarte Profile auf Hinzufügen.
  3. Geben Sie unter Nameden Namen der zu prüfenden Anwendung ein.
  4. Wählen Sie in AktionERLAUBENoderVERWEIGERN.
  5. Geben Sie im Feld Prozesse, die abgebrochen werden sollen, den Namen des Prozesses ein, der gestoppt werden soll.
  6. Geben Sie unter Zu löschende Dateienden Namen der zu löschenden Datei ein, z. B. c:\clientext.txt, klicken Sie auf Erstellen und dann auf Schließen.

    Dies gibt die Dateien an, die das Endpoint Analysis-Plug-in löschen muss. Wenn Sie einen Prozess löschen oder abbrechen, wird den Endbenutzern eine Benachrichtigung angezeigt.

    Prozess gelöscht

Wenn Sie die GUI verwenden, um ein Vorauthentifizierungsprofil zu konfigurieren, erstellen Sie die Vorauthentifizierungsrichtlinie, indem Sie auf der Registerkarte Richtlinien auf Hinzufügen klicken. Wählen Sie im Dialogfeld Vorauthentifizierungsrichtlinie erstellen das Profil aus dem Menü Profil anfordern aus.

Hinzufügen eines vorkonfigurierten Ausdrucks zu einer Vorauthentifizierungsrichtlinie

NetScaler Gateway enthält vorkonfigurierte Ausdrücke, die als benannte Ausdrücke bezeichnet werden. Wenn Sie eine Richtlinie konfigurieren, können Sie einen benannten Ausdruck für die Richtlinie verwenden. Sie möchten beispielsweise, dass die Vorauthentifizierungsrichtlinie nach Symantec Antivirus 10 mit aktualisierten Virendefinitionen sucht. Erstellen Sie eine Vorauthentifizierungsrichtlinie und fügen Sie den Ausdruck wie im folgenden Verfahren beschrieben hinzu.

Wenn Sie eine Vorauthentifizierungs- oder Sitzungsrichtlinie erstellen, können Sie den Ausdruck beim Erstellen der Richtlinie erstellen. Sie können die Richtlinie dann mit dem Ausdruck auf virtuelle Server oder global anwenden.

Im folgenden Verfahren wird beschrieben, wie Sie mithilfe des Konfigurationsdienstprogramms einen vorkonfigurierten Antivirus-Ausdruck zu einer Richtlinie hinzufügen.

Hinzufügen eines benannten Ausdrucks zu einer Vorauthentifizierungsrichtlinie

  1. Navigieren Sie zu NetScaler Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann auf Öffnen.
  3. Wählen Sie neben Benannte AusdrückeAnti-Virusund wählen Sie das Antivirenprodukt aus der Liste aus.
  4. Klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.

Konfigurieren von benutzerdefinierten Ausdrücken

Ein benutzerdefinierter Ausdruck ist einer, den Sie innerhalb der Richtlinie erstellen. Wenn Sie einen Ausdruck erstellen, konfigurieren Sie die Parameter für den Ausdruck.

Sie können auch benutzerdefinierte Ausdrücke erstellen, um auf häufig verwendete Zeichenfolgen zu verweisen. Dies erleichtert die Konfiguration von Vorauthentifizierungsrichtlinien und auch die Pflege der konfigurierten Ausdrücke.

Sie möchten beispielsweise einen benutzerdefinierten Ausdruck für Symantec Antivirus 10 erstellen und sicherstellen, dass die Virendefinitionen nicht älter als drei Tage sind. Erstellen Sie eine Richtlinie und konfigurieren Sie dann den Ausdruck, um die Virusdefinitionen anzugeben.

Das folgende Verfahren zeigt, wie Sie einen Ausdruck in einer Vorauthentifizierungsrichtlinie erstellen. Sie können dieselben Schritte in einer Sitzungsrichtlinie verwenden.

Erstellen einer Vorauthentifizierungsrichtlinie und eines benutzerdefinierten Ausdrucks

  1. Navigieren Sie zuNetScaler Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-AuthenticationEPA.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie im Dialogfeld Authentifizierungsprofil erstellen in das Feld Nameeinen Namen für das Profil ein, wählen Sie unter Aktiondie Option Zulassenaus, und klicken Sie dann auf Erstellen.
  6. Klicken Sie im Dialogfeld Vorauthentifizierungsrichtlinie erstellen neben MyMatch Any Expressionauf Hinzufügen.
  7. Wählen Sie unter Ausdruckstyp die Option Clientsicherheit aus.
  8. Konfigurieren Sie Folgendes:
    1. Wählen Sie unter KomponenteAntivirusaus.
    2. Geben Sie unter Nameeinen Namen für die Anwendung ein.
    3. Wählen Sie unter Qualifier die Option Version aus.
    4. Wählen Sie unter Operator==aus.
    5. Geben Sie im Feld Wertden Wert ein.
    6. Geben Sie unter Frische3 ein, und klicken Sie dann auf OK.
  9. Klicken Sie im Dialogfeld Pre-Authentication Policy erstellen auf Erstellenund dann auf Schließen.

Wenn Sie einen benutzerdefinierten Ausdruck konfigurieren, wird er dem Feld Ausdruck im Richtlinien-Dialogfeld hinzugefügt.

Konfigurieren von zusammengesetzten Ausdrücken

Eine Vorauthentifizierungsrichtlinie kann ein Profil und mehrere Ausdrücke enthalten. Wenn Sie zusammengesetzte Ausdrücke konfigurieren, verwenden Sie Operatoren, um die Bedingungen des Ausdrucks anzugeben. Sie können beispielsweise zusammengesetzte Ausdrücke so konfigurieren, dass das Benutzergerät eine der folgenden Antivirenanwendungen ausführen muss:

  • Symantec Antivirus 10
  • McAfee Antivirus 11
  • Sophos Antivirus 4

Sie konfigurieren den Ausdruck mit dem ODER-Operator, um nach den drei vorhergehenden Anwendungen zu suchen. Wenn NetScaler Gateway die richtige Version einer der Anwendungen auf dem Benutzergerät erkennt, können sich Benutzer anmelden. Der Ausdruck im Richtliniendialogfeld sieht wie folgt aus:

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

Weitere Hinweise zu zusammengesetzten Ausdrücken finden Sie unter Konfigurieren von zusammengesetzten Ausdrücken.

Binden von Vorauthentifizierungsrichtlinien

Nachdem Sie die Vorauthentifizierungsrichtlinie erstellt haben, binden Sie die Richtlinie an die Ebene, für die sie gilt. Sie können die Vorauthentifizierungsrichtlinien an virtuelle Server oder global binden.

Erstellen und binden Sie eine Vorauthentifizierungsrichtlinie global

  1. Klicken Sie auf der Registerkarte Konfiguration auf NetScaler Gateway und dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich auf Einstellungen für die Vorauthentifizierung ändern.
  3. Wählen Sie im Dialogfeld Globale Einstellungen für die Vorauthentifizierung unter Aktiondie Option Zulassen oder Verweigernaus.
  4. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  5. Wählen Sie im Dialogfeld Globale Einstellungen für die Vorauthentifizierung neben Benannte Ausdrückedie Option Allgemeinaus, wählen Sie den Wert True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellenund dann auf Schließen.

Binden einer Vorauthentifizierungsrichtlinie an einen virtuellen Server

  1. Klicken Sie auf der Registerkarte Konfiguration auf NetScaler Gateway und dann auf Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld NetScaler Gateway Virtual Server konfigurieren auf die Registerkarte Richtlinien und dann auf Vorauthentifizierung.
  4. Klicken Sie unter Details auf Richtlinie einfügen, und wählen Sie dann unter Richtlinienname die Vorauthentifizierungsrichtlinie aus.
  5. Klicken Sie auf OK.

Aufheben und Entfernen von Vorauthentifizierungsrichtlinien

Bei Bedarf können Sie eine Vorauthentifizierungsrichtlinie aus NetScaler Gateway entfernen. Bevor Sie eine Vorauthentifizierungsrichtlinie entfernen, lösen Sie die Bindung vom virtuellen Server oder global.

Aufheben der Bindung einer globalen Vorauthentifizierungsrichtlinie

  1. Navigieren Sie zu NetScaler Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann unter Aktion auf Globale Bindungen.
  3. Wählen Sie im Dialogfeld Vorauthentifizierungsrichtlinien an Global binden/aufheben eine Richtlinie aus, klicken Sie auf Richtlinie aufheben, und klicken Sie dann auf OK.

Aufheben der Bindung einer Vorauthentifizierungsrichtlinie von einem virtuellen Server

  1. Klicken Sie auf der Registerkarte Konfiguration auf NetScaler Gateway und dann auf Virtuelle Server.
  2. Klicken Sie im Dialogfeld NetScaler Gateway Virtual Server konfigurieren auf die Registerkarte Richtlinien, und klicken Sie dann auf Vorauthentifizierung.
  3. Wählen Sie die Richtlinie aus und klicken Sie dann auf Richtlinie aufheben.

Wenn die Vorauthentifizierungsrichtlinie nicht gebunden ist, können Sie die Richtlinie aus NetScaler Gateway entfernen.

Entfernen einer Vorauthentifizierungsrichtlinie

  1. Navigieren Sie zuNetScaler Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-AuthenticationEPA.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann auf Entfernen.

Festlegen der Priorität von Vorauthentifizierungsrichtlinien

Sie können mehrere Vorauthentifizierungsrichtlinien haben, die an verschiedene Ebenen gebunden sind. Beispielsweise verfügen Sie über eine Richtlinie, die nach einer bestimmten global gebundenen Antivirenanwendung sucht, und eine Firewallrichtlinie, die an den virtuellen Server gebunden ist. Wenn sich Benutzer anmelden, wird zuerst die Richtlinie angewendet, die an den virtuellen Server gebunden ist. Die global gebundene Richtlinie wird an zweiter Stelle angewendet.

Sie können die Reihenfolge ändern, in der die Vorauthentifizierungsscans stattfinden. Damit NetScaler Gateway zuerst die globale Richtlinie anwendet, ändern Sie die Prioritätsnummer der an den virtuellen Server gebundenen Richtlinie und geben Sie ihm eine höhere Prioritätsnummer als die global gebundene Richtlinie. Legen Sie beispielsweise die Prioritätsnummer für die globale Richtlinie auf eins und die Richtlinie für virtuelle Server auf zwei fest. Wenn sich Benutzer anmelden, führt NetScaler Gateway zuerst den globalen Richtlinienscan und dann den Scan der virtuellen Serverrichtlinie aus.

Ändern der Priorität einer Vorauthentifizierungsrichtlinie

  1. Klicken Sie auf der Registerkarte Konfiguration auf NetScaler Gateway und dann auf Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf der Registerkarte Richtlinien auf Vorauthentifizierung.
  4. Geben Sie unter Priorität die Prioritätsnummer für die Richtlinie ein, und klicken Sie dann auf OK.