Directivas de autorización
Al configurar una directiva de autorización, puede configurarla para permitir o denegar el acceso a los recursos de red de la red interna. Por ejemplo, para permitir que los usuarios tengan acceso a la red 10.3.3.0, utilice la expresión siguiente:
CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)
Las directivas de autorización se aplican a usuarios y grupos. Después de autenticar un usuario, Citrix Gateway realiza una comprobación de autorización de grupo obteniendo la información de grupo del usuario de un servidor RADIUS, LDAP o TACACS+. Si la información de grupo está disponible para el usuario, Citrix Gateway comprueba los recursos de red permitidos para el grupo.
Para controlar a qué recursos pueden acceder los usuarios, debe crear directivas de autorización. Si no necesita crear directivas de autorización, puede configurar la autorización global predeterminada.
Si crea una expresión dentro de la directiva de autorización que deniegue el acceso a una ruta de archivo, solo puede utilizar la ruta de acceso del subdirectorio y no el directorio raíz. Por ejemplo, use fs.path contiene “dir1dir2” en lugar de fs.path contiene “rootdirdir1dir2”. Si utiliza la segunda versión de este ejemplo, se producirá un error en la directiva.
Después de configurar la directiva de autorización, la enlaza a un usuario o grupo.
De forma predeterminada, las directivas de autorización se validan primero con las directivas vinculadas al servidor virtual y, a continuación, con las directivas enlazadas globalmente. Si vincula una directiva globalmente y quiere que la directiva global tenga prioridad sobre una directiva que vincule a un usuario, grupo o servidor virtual, puede cambiar el número de prioridad de la directiva. Los números de prioridad comienzan en cero. Un número de prioridad más bajo otorga a la directiva mayor prioridad.
Por ejemplo, si la directiva global tiene un número de prioridad de uno y el usuario tiene una prioridad de dos, la directiva de autenticación global se aplica primero.
Importante:
- Las directivas de autorización clásicas se aplican solo en el tráfico TCP.
La directiva de autorización avanzada se puede aplicar a todos los tipos de tráfico (TCP/UDP/ICMP/DNS).
To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.
- While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
- The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.
Para obtener más información sobre las directivas de autorización avanzadas, consulte el artículo https://support.citrix.com/article/CTX232237.
Configurar y enlazar una directiva de autorización
Configurar una directiva de autorización mediante la interfaz gráfica de usuario
- Vaya a Citrix Gateway > Directivas > Autorización.
- En el panel de detalles, haga clic en Agregar.
- En Nombre, escriba un nombre para la directiva.
- En Acción, seleccione Permitir o Denegar.
- En Expresión, haga clic en Editor de expresiones.
- Para empezar a configurar la expresión, haga clic en Seleccionar y elija los elementos necesarios.
- Haga clic en Listo cuando se complete la expresión.
- Haga clic en Crear.
Vincular una directiva de autorización a un usuario mediante la GUI
- Vaya a Citrix Gateway > Administración de usuarios.
- Haga clic en Usuarios AAA.
- En el panel de detalles, seleccione un usuario y, a continuación, haga clic en Modificar.
- En Configuración avanzada, haga clic en Directivas de autorización.
- En la página Enlace de directivas, seleccione una directiva o cree una.
- En Prioridad, establezca el número de prioridad.
- En Tipo, seleccione el tipo de solicitud y, a continuación, haga clic en Aceptar.
Enlazar una directiva de autorización a un grupo mediante la GUI
- Vaya a Citrix Gateway > Administración de usuarios.
- Haga clic en Grupos AAA.
- En el panel de detalles, seleccione un grupo y, a continuación, haga clic en Modificar.
- En Configuración avanzada, haga clic en Directivas de autorización.
- En la página Enlace de directivas, seleccione una directiva o cree una.
- En Prioridad, establezca el número de prioridad.
- En Tipo, seleccione el tipo de solicitud y, a continuación, haga clic en Aceptar.
Autorización especifica los recursos de red a los que tienen acceso los usuarios cuando inician sesión en Citrix Gateway. La configuración predeterminada para la autorización es denegar el acceso a todos los recursos de red. Citrix recomienda utilizar la configuración global predeterminada y, a continuación, crear directivas de autorización para definir los recursos de red a los que pueden acceder los usuarios.
Puede configurar la autorización en Citrix Gateway mediante una directiva de autorización y expresiones. Después de crear una directiva de autorización, puede vincularla a los usuarios o grupos configurados en el dispositivo.
Autorización global predeterminada
Para definir los recursos a los que tienen acceso los usuarios en la red interna, puede configurar la autorización global predeterminada. Puede configurar la autorización global permitiendo o denegando el acceso a los recursos de red globalmente en la red interna.
Cualquier acción de autorización global que cree se aplica a todos los usuarios que aún no tengan una directiva de autorización asociada a ellos, ya sea directamente o a través de un grupo. Una directiva de autorización de usuario o grupo siempre anula la acción de autorización global. Si la acción de autorización predeterminada está establecida en Denegar, debe aplicar directivas de autorización para todos los usuarios o grupos para que los recursos de red sean accesibles para esos usuarios o grupos. Este requisito ayuda a mejorar la seguridad.
Para establecer la autorización global predeterminada:
- En la utilidad de configuración, en la ficha Configuration, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Global Settings.
- En el panel de detalles, en Configuración, haga clic en Cambiar configuración global.
- En la ficha Seguridad, junto a Acción de autorización predeterminada, seleccione Permitir o Denegar y haga clic en Aceptar.