EPA-Scan für MAC-Adressen
Ab Citrix ADC Version 13.0-88.x können Sie EPA-Scankonfigurationen für die zulässigen oder spezifischen MAC-Adressen konfigurieren. Citrix ADC verwendet Richtlinienausdrücke und Mustersätze, um die Liste der MAC-Adressen zu spezifizieren.
Vor der Citrix ADC-Version 13.0-88.x musste die Liste aller zulässigen MAC-Adressen als Teil eines EPA-Ausdrucks angegeben werden. Wenn die Kunden eine riesige Liste erlaubter MAC-Adressen hatten, war es umständlich, alle MAC-Adressen in einem Ausdruck hinzuzufügen. Außerdem gab es eine Beschränkung für die Anzahl der MAC-Adressen, die in einem einzigen Ausdruck hinzugefügt werden sollten.
Beispiel:
add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->
EPA-Scan für MAC-Adressen über die GUI konfigurieren
Die Option MAC-Adressen (Ausdruck), die zuvor in der Windows-Scankategorie verfügbar war, ist jetzt in der Kategorie Common Scan der Citrix ADC GUI verfügbar. Mit dieser Option können Benutzer einen EPA-Scan für eine Liste zulässiger oder spezifischer MAC-Adressen konfigurieren.
Hinweis:
Der Citrix Secure Access-Client 22.10.1 und spätere Versionen unterstützen diese Methode, mit der Citrix ADC die EPA-Scankonfigurationen auf der GUI verarbeitet.
-
Mustersatz konfigurieren. Einzelheiten finden Sie unter Konfigurieren eines Mustersatzes.
-
Erstellen Sie für jeden Mustersatz einen entsprechenden Richtlinienausdruck.
Wählen Sie beim Konfigurieren des Ausdrucks im Ausdruckseditor AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY (Zeichenfolge) > Mustersatzaus.
Einzelheiten zum Konfigurieren eines erweiterten Ausdrucks finden Sie unter Konfigurieren erweiterter Richtlinienausdrücke in einer Richtlinie.
-
Erstellen Sie einen EPA-Scan für den Ausdruck, der in den vorherigen Schritten konfiguriert wurde. Einzelheiten finden Sie unter Erweiterte Endpoint Analysis-Scans.
Konfigurieren Sie den EPA-Scan für MAC-Adressen über die CLI
-
Speichern Sie die MAC-Adressen innerhalb von Mustersätzen.
Geben Sie an der Eingabeaufforderung;
add policy patset <name> [-comment <string>] <!--NeedCopy-->
Example:
``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```
-
Erstellen Sie mit AAA.LOGIN.CLIENT_MAC_ADDR.equals_any() einen entsprechenden Richtlinienausdruck für jeden Mustersatz
Geben Sie an der Eingabeaufforderung;
Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
Beispiel:
add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1") add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
-
Erstellen von EPA-Scans über konfigurierten Richtlinienausdrücke
Geben Sie an der Eingabeaufforderung;
add authentication epaAction <name> -csecexpr <expression>
Beispiel:
add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
Konfigurieren Sie eine Vorauthentifizierungsrichtlinie,
add authentication Policy epapol -rule true -action epa
Binden Sie die Vorauthentifizierungsrichtlinie,
bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
Wichtige Hinweise
- Das Konfigurieren eines EPA-Scans für eine zulässige Liste von MAC-Adressen gilt nur für die nFactor-Authentifizierungsabläufe.
- Es wird empfohlen, nicht mehr als 3000 Einträge in einem Mustersatz zu speichern.
- Die MAC-Adressen müssen im Format 1A-2B-3C-4D-5E-6F konfiguriert sein.
- Das Format für den EPA-Scan ist
mac-addr_0_<policy-expression-name>
. In diesem Format istmac-addr_0_
ein statischer Wert und Sie müssen den Richtlinienausdrucksnamen nachmac-addr_0_
eingeben. - Die EPA-Scans können mithilfe der Symbole entsprechend getrennt werden
( ||, &&)
. - Um viele MAC-Adressen zu einem Mustersatz hinzuzufügen, können Sie den dateibasierten Mustersatzimport verwenden. Es wird empfohlen, für eine optimale Leistung maximal 3000 Einträge/Mustersatz zu speichern.
- Wenn MAC-Adressen in einer Datei vorhanden sind, können Sie einen Mustersatz erstellen, indem Sie dateibasierte Mustersätze importieren und während des Imports das entsprechende Trennzeichen angeben.