Gateway

Datenverkehrsrichtlinien

Mit Verkehrsrichtlinien können Sie die folgenden Einstellungen für Benutzerverbindungen konfigurieren:

  • Erzwingen kürzerer Timeouts für sensible Anwendungen, auf die von nicht vertrauenswürdigen Netzwerken aus zugegriffen wird.
  • Umschalten des Netzwerkverkehrs zur Verwendung von TCP für einige Anwendungen. Wenn Sie TCP auswählen, müssen Sie Single Sign-On für bestimmte Anwendungen aktivieren oder deaktivieren.
  • Identifizieren von Situationen, in denen Sie andere HTTP-Funktionen für den Citrix Secure Access-Clientverkehr verwenden möchten.
  • Definieren der Dateinamenerweiterungen, die mit der Dateitypzuordnung verwendet werden.

Erstellen Sie eine Verkehrsrichtlinie

Um eine Verkehrsrichtlinie zu konfigurieren, erstellen Sie ein Profil und konfigurieren die folgenden Parameter:

  • Protokoll (HTTP oder TCP)
  • Zeitüberschreitung der Anwendung
  • Einmaliges Anmelden bei Webanwendungen
  • Formular einmaliges Anmelden
  • Dateitypzuordnungen
  • Repeater-Plug-In
  • Kerberos Constrained Delegierte (KCD) Konten

Nachdem Sie die Verkehrsrichtlinie erstellt haben, können Sie die Richtlinie an virtuelle Server, Benutzer, Gruppen oder global binden.

Beispielsweise haben Sie die Webanwendung PeopleSoft Human Resources auf einem Server im internen Netzwerk installiert. Sie können eine Verkehrsrichtlinie für diese Anwendung erstellen, die die Ziel-IP-Adresse und den Zielport definiert, und Sie können festlegen, wie lange ein Benutzer bei der Anwendung angemeldet bleiben kann, z. B. 15 Minuten.

Wenn Sie andere Funktionen wie die HTTP-Komprimierung für eine Anwendung konfigurieren möchten, können Sie eine Verkehrsrichtlinie verwenden, um die Einstellungen zu konfigurieren. Verwenden Sie beim Erstellen der Richtlinie den HTTP-Parameter für die Aktion. Erstellen Sie im Ausdruck die Zieladresse für den Server, auf dem die Anwendung ausgeführt wird.

Beispiele für Ausdrücke in Verkehrsrichtlinien

Im Folgenden sind die Ausdrucksbeispiele für Datenverkehrsrichtlinien aufgeführt:

  • add vpn trafficPolicy trafPol1 "HTTP.REQ.URL.CONTAINS(\"/Citrix/\") || HTTP.REQ.URL.CONTAINS(\"10.102.\")")" trafAct1

  • add vpn trafficPolicy trafPol2 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv\") || HTTP.REQ.URL.CONTAINS(\"homePage\"))" trafAct2

  • add vpn trafficPolicy trafPol3 true trafAct3

Konfigurieren einer Verkehrsrichtlinie über die GUI

  1. Erweitern Sie NetScaler Gateway > Richtlinien und klicken Sie dann auf Verkehr.

  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.

  3. Geben Sie im Dialogfeld Traffic Policy erstellen in das Feld Name einen Namen für die Richtlinie ein.

  4. Klicken Sie neben Profil anfordernauf Neu.

  5. Geben Sie im Feld Name einen Namen für das Profil ein.

  6. Wählen Sie im Protokollentweder HTTP oder TCPaus.

    Hinweis: Wenn Sie TCP als Protokoll auswählen, können Sie Single Sign-On nicht konfigurieren und die Einstellung ist im Profildialogfeld deaktiviert.

  7. Geben Sie in AppTimeout (Minuten)die Anzahl der Minuten ein. Diese Einstellung begrenzt die Zeit, die Benutzer bei der Webanwendung angemeldet bleiben können.

  8. Um Single Sign-on bei der Webanwendung zu aktivieren, wählen Sie unter Single Sign-On die Option ONaus.

    Hinweis : Wenn Sie formularbasiertes Single Sign-On verwenden möchten, können Sie die Einstellungen im Verkehrsprofil konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von formularbasiertem Single Sign-On.

  9. Um eine Dateitypzuordnung anzugeben, wählen Sie unter Dateitypzuordnung die Option ON aus.

  10. Um das Repeater-Plug-In zur Optimierung des Netzwerkverkehrs zu verwenden, wählen Sie in Citrix SD-WAN ON aus, klicken Sie auf Erstellen und dann auf Schließen.

  11. Wenn Sie KCD auf der Appliance konfigurieren, wählen Sie im KCD-Konto das Konto aus.

    Weitere Informationen zur Konfiguration von KCD auf der Appliance finden Sie unter Konfigurieren von Kerberos Constrained Delegation auf einer NetScaler Appliance.

  12. Erstellen Sie im Dialogfeld Verkehrsrichtlinie erstellen einen Ausdruck, oder fügen Sie ihn hinzu, klicken Sie auf Erstellen und dann auf Schließen.

Konfigurieren Sie formularbasiertes einmaliges Anmelden

Formularbasiertes Single Sign-On ermöglicht es Benutzern, sich einmalig bei allen geschützten Anwendungen in Ihrem Netzwerk anzumelden. Wenn Sie formularbasiertes Single Sign-On in NetScaler Gateway konfigurieren, können Benutzer auf Webanwendungen zugreifen, die eine formularbasierte HTML-Anmeldung erfordern, ohne ihr Kennwort erneut eingeben zu müssen. Ohne einmaliges Anmelden müssen sich Benutzer separat anmelden, um auf jede Anwendung zugreifen zu können.

Nachdem Sie das Profil für einmaliges Anmelden des Formulars erstellt haben, erstellen Sie dann ein Verkehrsprofil und eine Richtlinie, die das Profil für einmaliges Anmelden des Formulars enthält. Weitere Informationen finden Sie unter Erstellen einer Verkehrsrichtlinie.

Konfigurieren Sie formularbasiertes einmaliges Anmelden

  1. Erweitern Sie NetScaler Gateway > Richtlinien, und klicken Sie dann auf Traffic.

  2. Klicken Sie im Detailbereich auf die Registerkarte Formular-SSO-Profile und dann auf Hinzufügen.

  3. Geben Sie im Feld Name einen Namen für das Profil ein.

  4. Geben Sie unter Aktions-URL die URL ein, an die das ausgefüllte Formular gesendet wird.

    Hinweis: Die URL ist die relative Stamm-URL.

  5. Geben Sie unter Benutzernameden Namen des Attributs für das Feld Benutzername ein.

  6. Geben Sie unter Kennwortden Namen des Attributs für das Kennwortfeld ein.

  7. Erstellen Sie in der SSO-Erfolgsregeleinen Ausdruck, der die Aktion beschreibt, die dieses Profil ausführt, wenn es durch eine Richtlinie aufgerufen wird. Sie können den Ausdruck auch mithilfe der Schaltflächen Präfix, Hinzufügen und Operator unter diesem Feld erstellen.

    Diese Regel überprüft, ob das Single Sign-On erfolgreich ist oder nicht.

  8. Geben Sie unter Name Value Pairden Wert des Benutzernamens ein, gefolgt von einem kaufmännischen Und (&) und dann dem Wert des Kennwortfelds.

    Wertnamen werden durch ein kaufmännisches und (&) getrennt, wie name1=Wert1&name2=Wert2.

  9. Geben Sie unter Response Sizedie Anzahl Byte ein, um die vollständige Antwortgröße zu ermöglichen. Geben Sie die Anzahl der Byte in der Antwort ein, die für das Extrahieren der Formulare analysiert werden sollen.

  10. Wählen Sie unter Extraktionaus, ob das Name/Wert-Paar statisch oder dynamisch ist. Die Standardeinstellung ist Dynamisch.

  11. Wählen Sie unter Submit Methoddie HTTP-Methode aus, die vom Formular für einmaliges Anmelden verwendet wird, um die Anmeldeinformationen an den Anmeldeserver zu senden. Die Standardeinstellung ist “Hole”.

  12. Klicken Sie auf Erstellen und dann auf Schließen.

Konfigurieren von SAML-Single-Sign-On

Sie können ein SAML 1.1- oder SAML 2.0-Profil für Single Sign-On (SSO) erstellen. Benutzer können eine Verbindung zu Webanwendungen herstellen, die das SAML-Protokoll für einmaliges Anmelden unterstützen. NetScaler Gateway unterstützt das einmalige Anmelden des Identitätsanbieters (IdP) für SAML-Webanwendungen.

Konfigurieren von SAML-Single-Sign-On

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway > Richtlinien, und klicken Sie dann auf Traffic.
  2. Klicken Sie im Detailbereich auf die Registerkarte SAML SSO-Profil.
  3. Klicken Sie im Detailbereich auf “Hinzufügen”.
  4. Geben Sie im Feld Name einen Namen für das Profil ein.
  5. Geben Sie unter Signaturzertifikatname den Namen des X.509-Zertifikats ein.
  6. Geben Sie unter ACS-URL den Assertion-Verbraucherdienst des Identitätsanbieters oder Dienstanbieters ein. Die AssertionConsumerServiceURL (ACS-URL) bietet SSO-Funktionen für Benutzer.
  7. Erstellen Sie in Relay State Rule den Ausdruck für die Richtlinie aus Gespeicherten Richtlinienausdrücken und häufig verwendeten Ausdrücken. Wählen Sie aus der Liste Operator aus, um zu definieren, wie der Ausdruck ausgewertet wird. Um den Ausdruck zu testen, klicken Sie auf Evaluieren.
  8. Wählen Sie unter Kennwort senden ON oder OFF.
  9. Geben Sie unter Name des Ausstellers die Identität für die SAML-Anwendung ein.
  10. Klicken Sie auf Erstellen und dann auf Schließen.

Binden Sie eine Verkehrsrichtlinie

Sie können Verkehrsrichtlinien an virtuelle Server, Gruppen, Benutzer und an NetScaler Gateway Global binden. Sie können das Konfigurationsdienstprogramm verwenden, um eine Verkehrsrichtlinie zu binden.

Binden Sie eine Verkehrsrichtlinie global über die GUI

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway > Richtlinien, und klicken Sie dann auf Verkehr.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann unter Aktion auf Globale Bindungen.
  3. Klicken Sie im Dialogfeld Traffic-Richtlinien binden/aufheben unter Details auf Richtlinie einfügen.
  4. Wählen Sie unter Richtlinienname die Richtlinie aus, und klicken Sie dann auf OK.

Verkehrsrichtlinien entfernen

Sie können entweder das Konfigurationsdienstprogramm verwenden, um Verkehrsrichtlinien von NetScaler Gateway zu entfernen. Wenn Sie das Konfigurationsdienstprogramm verwenden, um eine Verkehrsrichtlinie zu entfernen, und die Richtlinie an die Benutzer-, Gruppen- oder virtuelle Serverebene gebunden ist, müssen Sie zuerst die Richtlinie aufheben. Dann können Sie die Richtlinie entfernen.

Entbinden einer Verkehrsrichtlinie über die GUI

  1. Erweitern Sie NetScaler Gateway, und klicken Sie dann auf Virtuelle Server.
    • Erweitern Sie NetScaler Gateway > Benutzerverwaltungund klicken Sie dann auf AAA-Gruppen.
    • Erweitern Sie NetScaler Gateway > Benutzerverwaltung und klicken Sie dann auf AAA-Benutzer.
  2. Wählen Sie im Detailbereich einen virtuellen Server, eine Gruppe oder einen Benutzer aus und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld NetScaler Gateway Virtual Server konfigurieren, AAA-Gruppekonfigurieren oder AAA-Benutzerkonfigurieren auf die RegisterkarteRichtlinien.
  4. Klicken Sie auf Traffic, wählen Sie die Richtlinie aus, und klicken Sie dann auf Richtlinie aufheben.
  5. Klicken Sie auf OK und dann auf Schließen.

Nachdem die Verkehrsrichtlinie nicht gebunden ist, können Sie die Richtlinie entfernen.

Entfernen einer Verkehrsrichtlinie über die GUI

  1. Erweitern SieNetScaler Gateway > Richtlinien, und klicken Sie dann auf Traffic.
  2. Wählen Sie im Detailbereich auf der Registerkarte Richtlinien die Verkehrsrichtlinie aus, und klicken Sie dann auf Entfernen.
Datenverkehrsrichtlinien