Autorisierungsrichtlinien konfigurieren
Wenn Sie eine Autorisierungsrichtlinie konfigurieren, können Sie festlegen, dass sie den Zugriff auf Netzwerkressourcen im internen Netzwerk erlaubt oder verweigert. Verwenden Sie beispielsweise den folgenden Ausdruck, um Benutzern Zugriff auf das 10.3.3.0-Netzwerk zu gewähren:
CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)
Autorisierungsrichtlinien werden auf Benutzer und Gruppen angewendet. Nachdem ein Benutzer authentifiziert wurde, führt Citrix Gateway eine Gruppenautorisierungsprüfung durch, indem die Gruppeninformationen des Benutzers entweder von einem RADIUS-, LDAP- oder TACACS+-Server abgerufen werden. Wenn Gruppeninformationen für den Benutzer verfügbar sind, überprüft Citrix Gateway die für die Gruppe zulässigen Netzwerkressourcen.
Um zu steuern, auf welche Ressourcen Benutzer zugreifen können, müssen Sie Autorisierungsrichtlinien erstellen. Wenn Sie keine Autorisierungsrichtlinien erstellen müssen, können Sie die globale Standardermächtigung konfigurieren.
Wenn Sie innerhalb der Autorisierungsrichtlinie einen Ausdruck erstellen, der den Zugriff auf einen Dateipfad verweigert, können Sie nur den Pfad des Unterverzeichnisses und nicht das Stammverzeichnis verwenden. Verwenden Sie zum Beispiel fs.path enthält “\\ dir1\\ dir2” anstelle von fs.path enthält “\\ rootdir\\ dir1\\ dir2”. Wenn Sie in diesem Beispiel die zweite Version verwenden, schlägt die Richtlinie fehl.
Nachdem Sie die Autorisierungsrichtlinie konfiguriert haben, binden Sie sie an einen Benutzer oder eine Gruppe, wie in den folgenden Aufgaben gezeigt.
Standardmäßig werden Autorisierungsrichtlinien zuerst anhand von Richtlinien validiert, die Sie an den virtuellen Server binden, und dann gegen global gebundene Richtlinien. Wenn Sie eine Richtlinie global binden und möchten, dass die globale Richtlinie Vorrang vor einer Richtlinie hat, die Sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden, können Sie die Prioritätsnummer der Richtlinie ändern. Prioritätszahlen beginnen bei Null. Eine niedrigere Prioritätszahl gibt der Richtlinie eine höhere Priorität.
Wenn die globale Richtlinie beispielsweise eine Prioritätsnummer von eins hat und der Benutzer eine Priorität von zwei hat, wird zuerst die globale Authentifizierungsrichtlinie angewendet.
Wichtig:
- Klassische Autorisierungsrichtlinien werden nur auf TCP-Verkehr angewendet.
Erweiterte Autorisierungsrichtlinie kann auf alle Arten von Datenverkehr (TCP/UDP/ICMP/DNS) angewendet werden.
To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.
- While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
- The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.
Weitere Einzelheiten zu erweiterten Autorisierungsrichtlinien finden Sie im Artikel https://support.citrix.com/article/CTX232237.
Beispiele für Ausdrücke für Autorisierungsrichtlinien
Im Folgenden finden Sie Ausdrucksbeispiele für Autorisierungsrichtlinien:
-
add authorization policy athzPol1 "HTTP.REQ.USER.IS_MEMBER_OF(\"allowedGroup\")" ALLOW
-
add authorization policy athzPol2 "CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20)" DENY
-
add authorization policy athzPol3 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25)" ALLOW
So konfigurieren Sie eine Autorisierungsrichtlinie über die GUI
- Navigieren Sie zu Citrix Gateway > Richtlinien > Autorisierung.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Wählen Sie unter Aktion die Option Zulassen oder Verweigern aus.
- Klicken Sie in Expression auf Expression Editor.
- Um mit der Konfiguration des Ausdrucks zu beginnen, klicken Sie auf Auswählen und wählen Sie die erforderlichen Elemente aus.
- Klicken Sie auf Fertig, wenn Ihr Ausdruck vollständig ist.
- Klicken Sie auf Erstellen.
So binden Sie eine Autorisierungsrichtlinie über die GUI an einen Benutzer
- Navigieren Sie zu Citrix Gateway > Benutzerverwaltung.
- Klicken Sie auf AAA-Benutzer.
- Wählen Sie im Detailbereich einen Benutzer aus und klicken Sie dann auf Bearbeiten.
- Klicken Sie in Erweiterte Einstellungenauf Autorisierungsrichtlinien.
- Wählen Sie auf der Seite Policy Binding eine Richtlinie aus oder erstellen Sie eine Richtlinie.
- Legen Sie unter Prioritätdie Prioritätsnummer fest.
- Wählen Sie unter Typden Anforderungstyp aus und klicken Sie dann auf OK.
So binden Sie eine Autorisierungsrichtlinie über die GUI an eine Gruppe
- Navigieren Sie zu Citrix Gateway > Benutzerverwaltung.
- Klicken Sie auf AAA-Gruppen.
- Wählen Sie im Detailbereich eine Gruppe aus und klicken Sie dann auf Bearbeiten.
- Klicken Sie in Erweiterte Einstellungenauf Autorisierungsrichtlinien.
- Wählen Sie auf der Seite Policy Binding eine Richtlinie aus oder erstellen Sie eine Richtlinie.
- Legen Sie unter Prioritätdie Prioritätsnummer fest.
- Wählen Sie unter Typden Anforderungstyp aus und klicken Sie dann auf OK.