Configurar el control de acceso basado en roles
NetScaler Console proporciona un control de acceso detallado y basado en funciones (RBAC) con el que puede conceder permisos de acceso en función de las funciones de los usuarios individuales de su empresa.
En NetScaler Console, todos los usuarios se agregan a Citrix Cloud. Como primer usuario de su organización, primero debe crear una cuenta en Citrix Cloud y, a continuación, iniciar sesión en la GUI de NetScaler Console con las credenciales de Citrix Cloud. Se le otorga la función de superadministrador y, de forma predeterminada, tiene todos los permisos de acceso en NetScaler Console. Más adelante, puede crear otros usuarios en su organización en Citrix Cloud.
Los usuarios que se crean más adelante y que inician sesión en NetScaler Console como usuarios habituales se denominan administradores delegados. Estos usuarios, de forma predeterminada, tienen todos los permisos excepto los permisos de administración de usuarios. Sin embargo, puede conceder permisos de administración de usuarios específicos creando las directivas adecuadas y asignándolas a estos usuarios delegados. Los permisos de administración de usuarios se encuentran en Configuración > Usuarios y roles.
Para obtener más información sobre cómo asignar permisos específicos, consulte Cómo asignar permisos adicionales a usuarios administradores delegados.
En las siguientes secciones se proporciona más información sobre cómo crear directivas, roles, grupos y cómo vincular a los usuarios a los grupos.
Ejemplo:
El siguiente ejemplo ilustra cómo se puede lograr el RBAC en NetScaler Console.
Chris, el jefe del grupo NetScaler, es el superadministrador de NetScaler Console en su organización. Crea tres funciones de administrador: Administrador de seguridad, administrador de aplicaciones y administrador de red.
- David, el administrador de seguridad, debe tener acceso completo para la administración y supervisión de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema.
- Steve, un administrador de aplicaciones, necesita acceso solo a aplicaciones específicas y a plantillas de configuración específicas.
- Greg, un administrador de red, necesita acceso a la administración de sistemas y redes.
- Chris también debe proporcionar RBAC para todos los usuarios, independientemente del hecho de que sean locales o externos.
La imagen siguiente muestra los permisos que tienen los administradores y otros usuarios y sus roles en la organización.
Para ofrecer un control de acceso basado en roles a sus usuarios, Chris primero debe añadir usuarios en Citrix Cloud y solo después podrá ver a los usuarios en NetScaler Console. Chris debe crear directivas de acceso para cada uno de los usuarios en función de su función. Las directivas de acceso están estrechamente vinculadas a los roles. Por lo tanto, Chris también debe crear roles y, luego, debe crear grupos, ya que los roles se pueden asignar solo a grupos y no a usuarios individuales.
El acceso es la capacidad de realizar una tarea específica, como ver, crear, modificar o eliminar un archivo. Los roles se definen de acuerdo con la autoridad y la responsabilidad de los usuarios dentro de la empresa. Por ejemplo, se puede permitir a un usuario realizar todas las operaciones de red, mientras que otro usuario puede observar el flujo de tráfico en las aplicaciones y ayudar a crear plantillas de configuración.
Las directivas determinan las funciones de los usuarios. Tras crear las directivas, puede crear funciones, vincular cada función a una o más directivas y asignar funciones a los usuarios. También puede asignar roles a grupos de usuarios. Un grupo es un conjunto de usuarios que tienen permisos en común. Por ejemplo, los usuarios que administran un centro de datos concreto se pueden asignar a un grupo. Un rol es una identidad que se otorga a los usuarios al agregarlos a grupos específicos en función de condiciones específicas. En NetScaler Console, la creación de funciones y políticas es específica de la función RBAC de NetScaler. Los roles y las directivas se pueden crear, cambiar o interrumpir fácilmente a medida que evolucionan las necesidades de la empresa, sin tener que actualizar individualmente los privilegios de cada usuario.
Los roles pueden estar basados en funciones o en recursos. Por ejemplo, considere un administrador SSL/Security y un administrador de aplicaciones. Un administrador de SSL/Security debe tener acceso completo a las funciones de supervisión y administración de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema. Los administradores de aplicaciones solo pueden acceder a los recursos dentro de su ámbito.
Por lo tanto, en su papel de Chris, el superadministrador, lleve a cabo las siguientes tareas de ejemplo en NetScaler Console para configurar las políticas de acceso, las funciones y los grupos de usuarios para David, que es el administrador de seguridad de su organización.
Configurar usuarios en la consola de NetScaler
Como superadministrador, puede crear más usuarios configurando cuentas para ellos en Citrix Cloud y no en NetScaler Console. Cuando los nuevos usuarios se agregan a NetScaler Console, solo puede definir sus permisos asignando los grupos apropiados al usuario.
Para agregar nuevos usuarios en Citrix Cloud:
-
En la GUI de NetScaler Console, haga clic en el icono de hamburguesa situado en la parte superior izquierda y seleccione Administración de identidades y accesos.
-
En la página Administración de identidades y accesos, seleccione la ficha Administradores .
Esta ficha muestra los usuarios creados en Citrix Cloud.
-
Seleccione el proveedor de identidad de la lista.
-
Identidadde Citrix : escriba la dirección de correo electrónico del usuario que quiere agregar en NetScaler Console y haga clic en Invitar.
Nota:
El usuario recibe una invitación por correo electrónico de Citrix Cloud. El usuario debe hacer clic en el enlace incluido en el correo electrónico para completar el proceso de registro con su nombre completo y contraseña y, más adelante, iniciar sesión en NetScaler Console con sus credenciales.
-
Azure Active Directory (AD): esta opción solo aparece si su Azure AD está conectado a Citrix Cloud; consulte Conectar Azure Active Directory a Citrix Cloud. Al seleccionar esta opción para invitar a usuarios o grupos, solo puede especificar el acceso personalizado para el usuario o grupo seleccionado. Los usuarios pueden iniciar sesión en NetScaler Console con sus credenciales de Azure AD. Además, no es necesario crear una identidad de Citrix para los usuarios que forman parte del Azure AD seleccionado. Si se agrega un usuario al grupo invitado, no es necesario que envíes una invitación para el usuario recién agregado. Este usuario puede acceder a NetScaler Console con las credenciales de Azure AD.
-
-
Seleccione Acceso personalizado para el usuario o grupo especificado.
-
Seleccione Administración de entrega de aplicaciones.
Esta opción muestra los grupos de usuarios creados en NetScaler Console. Seleccione el grupo al que quiere agregar el usuario.
Identidad de Citrix Azure AD Haga clic en Enviar invitación. Haga clic en Agregar grupo de administradores.
Como administrador, verá al nuevo usuario en la lista de usuarios de NetScaler Console solo después de que el usuario inicie sesión en NetScaler Console.
Para configurar los usuarios en NetScaler Console:
-
En la GUI de NetScaler Console, vaya a Configuración > Usuarios y funciones > Usuarios .
-
El usuario se muestra en la página Usuarios.
-
Puede modificar los privilegios proporcionados al usuario seleccionándolo y haciendo clic en Modificar. También puede modificar los permisos de grupo en la página Grupos del nodo Configuración.
Nota:
-
Los usuarios se agregan a NetScaler Console únicamente desde Citrix Cloud. Por lo tanto, aunque tenga permisos de administrador, no puede agregar ni eliminar usuarios en la GUI de NetScaler Console. Solo puede modificar los permisos de grupo. Se pueden agregar o eliminar usuarios de Citrix Cloud.
-
Los detalles del usuario aparecen en la GUI del servicio solo después de que el usuario haya iniciado sesión en la consola de NetScaler al menos una vez.
-
Configurar las políticas de acceso en la consola de NetScaler
Las directivas de acceso definen los permisos. Se puede aplicar una directiva a un grupo de usuarios o a varios grupos mediante la creación de roles. Las directivas determinan las funciones de los usuarios. Después de crear directivas, debe crear roles, enlazar cada rol a una o varias directivas y asignar roles a grupos de usuarios. NetScaler Console proporciona cinco políticas de acceso predefinidas:
- admin_policy. Otorga acceso a todos los nodos de NetScaler Console. El usuario tiene permisos de visualización y edición, puede ver todo el contenido de NetScaler Console y realizar todas las operaciones de edición. Es decir, el usuario puede agregar, modificar y eliminar operaciones en los recursos.
- adminExceptSystem_Policy. Concede acceso a los usuarios a todos los nodos de la GUI de NetScaler Console, excepto el acceso al nodo Configuración.
- readonly_policy. Otorga permisos de solo lectura. El usuario puede ver todo el contenido en NetScaler Console, pero no está autorizado a realizar ninguna operación.
-
appadmin_policy. Otorga permisos administrativos para acceder a las funciones de la aplicación en NetScaler Console. Un usuario vinculado a esta directiva puede:
- Agregar, modificar y eliminar aplicaciones personalizadas
- Habilitar o inhabilitar los servicios, los grupos de servicios y los distintos servidores virtuales, como la conmutación de contenido y la redirección de la memoria caché
- appreadonly_policy. Otorga permisos de solo lectura para las funciones de la aplicación. Un usuario vinculado a esta directiva puede ver las aplicaciones, pero no puede realizar ninguna operación de adición, modificación, eliminación, activación o desactivación.
Aunque no puede modificar estas directivas predefinidas, puede crear sus propias directivas (definidas por el usuario).
Anteriormente, al asignar políticas a los roles y vincular los roles a los grupos de usuarios, podía proporcionar permisos para los grupos de usuarios a nivel de nodo en la GUI de NetScaler Console. Por ejemplo, solo puede proporcionar permisos de acceso a todo el nodo de equilibrio de carga . Sus usuarios tenían permiso para acceder a todos los subnodos específicos de la entidad en Equilibrio de carga (por ejemplo, servidor virtual, servicios y otros) o no tenían permiso para acceder a ningún nodo en Equilibrio de carga.
En la compilación 507.x de NetScaler Console y en las versiones posteriores, la administración de políticas de acceso se amplía para proporcionar también permisos para los subnodos. La configuración de directiva de acceso se puede configurar para todos los subnodos, como servidores virtuales, servicios, grupos de servicios y servidores.
Actualmente, puede proporcionar un permiso de acceso de nivel tan granular solo para los subnodos de un nodo de equilibrio de carga y también para los subnodos del nodo GSLB .
Por ejemplo, como administrador, es posible que desee conceder al usuario un permiso de acceso solo para ver los servidores virtuales, pero no los servicios de back-end, los grupos de servicios y los servidores de aplicaciones del nodo de equilibrio de carga . Los usuarios a los que se les haya asignado una directiva de este tipo solo pueden acceder a los servidores virtuales.
Para crear directivas de acceso definidas por el usuario:
-
En la GUI de NetScaler Console, vaya a Configuración > Usuarios y funciones > Políticas de acceso.
-
Haga clic en Agregar.
-
En la página Crear directivas de acceso, en el campo Nombre de la directiva, introduzca el nombre de la directiva e introduzca la descripción en el campo Descripción de la directiva.
En la sección Permisos se enumeran todas las funciones de NetScaler Console, con opciones para especificar el acceso de solo lectura, habilitar-deshabilitar o editar.
-
Haga clic en el icono (+) para expandir cada grupo de funciones en muchas funciones.
-
Seleccione la casilla de permisos situada junto al nombre de la función para conceder permiso a los usuarios.
-
Ver:esta opción permite al usuario ver la función en NetScaler Console.
-
Activar y desactivar:esta opción solo está disponible para las funciones de red que permiten activar o desactivar la acción en la consola de NetScaler. El usuario puede activar o desactivar la función. El usuario también puede realizar la acción Sondear ahora .
Cuando se concede el permiso Habilitar-Inhabilitar a un usuario, también se concede el permiso Ver. No puede anular la selección de esta opción.
-
Modificar: esta opción otorga el acceso total al usuario. El usuario puede modificar la función y sus funciones.
Si concedes el permiso de edición, se concederán los permisos de visualización y de activación y desactivación. No puede anular la selección de las opciones seleccionadas automáticamente.
Si selecciona la casilla de verificación de la función, se seleccionan todos los permisos de la función.
-
Nota:
Amplíe Load Balancing y GSLB para ver más opciones de configuración.
En la imagen siguiente, las opciones de configuración de la función Equilibrio de carga tienen permisos diferentes:
El permiso de visualización se concede a un usuario para la función Servidores virtuales. El usuario puede ver los servidores virtuales de equilibrio de carga en NetScaler Console. Para ver los servidores virtuales, vaya a Infraestructura > Funciones de red > Equilibrio de carga y seleccione la ficha Servidores virtuales.
El permiso Habilitar-Inhabilitar se concede a un usuario para la función Servicios. Este permiso también otorga el permiso de visualización. El usuario puede habilitar o inhabilitar los servicios enlazados a un servidor virtual de equilibrio de carga. Además, el usuario puede realizar la acción Sondear ahora en los servicios. Para habilitar o inhabilitar los servicios, vaya a Infraestructura > Funciones de red > Equilibrio de carga y seleccione la ficha Servicios.
Nota:
Si un usuario tiene el permiso Habilitar-Inhabilitar, la acción de habilitación o inhabilitación de un servicio está restringida en la página siguiente:
-
Vaya a Infraestructura > Funciones de red.
-
Seleccione un servidor virtual y haga clic en Configurar.
-
Seleccione la página Vinculación del servicio de servidor virtual de equilibrio de carga. Esta página muestra un mensaje de error si selecciona Activar o Desactivar.
El permiso de edición se concede a un usuario para la función de grupos de servicios. Este permiso otorga el acceso completo cuando se otorgan los permisos de visualización y activación y desactivación. El usuario puede modificar los grupos de servicios enlazados a un servidor virtual de equilibrio de carga. Para modificar grupos de servicios, vaya a Infraestructura > Funciones de red > Equilibrio de carga y seleccione la ficha Grupos de servicios.
-
-
Haga clic en Crear.
Nota:
Al seleccionar Modificar, es posible que se asignen internamente permisos dependientes que no se muestran como habilitados en la sección Permisos. Por ejemplo, al habilitar los permisos de edición para la administración de errores, NetScaler Console proporciona internamente permisos para configurar un perfil de correo o para crear configuraciones de servidores SMTP, de modo que el usuario pueda enviar el informe como correo.
Otorgar permisos de StyleBook a los usuarios
Puede crear una directiva de acceso para conceder permisos de StyleBook, como importar, eliminar, descargar, etc.
Nota:
El permiso Ver se activa automáticamente al conceder otros permisos de StyleBook.
Configurar funciones en la consola de NetScaler
En NetScaler Console, cada rol está vinculado a una o más políticas de acceso. Puede definir relaciones uno a uno, uno a varios y muchos a muchos entre directivas y roles. Puede vincular un rol a varias directivas y puede vincular varios roles a una directiva.
Por ejemplo, un rol puede estar enlazado a dos directivas, con una directiva que defina los permisos de acceso para una función y la otra que defina los permisos de acceso para otra función. Una política puede conceder permiso para agregar instancias de NetScaler en NetScaler Console y la otra política puede conceder permiso para crear e implementar un StyleBook y configurar instancias de NetScaler.
Cuando varias directivas definen los permisos de edición y de solo lectura para una única entidad, los permisos de edición tienen prioridad sobre los permisos de solo lectura.
NetScaler Console proporciona cinco funciones predefinidas:
-
admin_role. Tiene acceso a todas las funciones de NetScaler Console. (Esta función está vinculada a
adminpolicy
.) - adminExceptSystem_role. Tiene acceso a la GUI de NetScaler Console, excepto a los permisos de configuración. (Este rol está vinculado a adminExceptSystem_Policy)
-
readonly_role. Tiene acceso de solo lectura. (Esta función está vinculada a
readonlypolicy
.) - appAdmin_role. Tiene acceso administrativo solo a las funciones de la aplicación en NetScaler Console. (Este rol está vinculado a appAdminPolicy).
- appReadonly_role. Tiene acceso de solo lectura a las funciones de la aplicación. (Este rol está vinculado a appReadOnlyPolicy).
Aunque no puede modificar las funciones predefinidas, puede crear las suyas propias (definidas por el usuario).
Para crear roles y asignarles directivas:
-
En la GUI de NetScaler Console, vaya a Configuración > Usuarios y funciones > Funciones .
-
Haga clic en Agregar.
-
En la página Crear funciones, en el campo Nombre de función, introduzca el nombre de la función y proporcione la descripción en el campo Descripción de la función (opcional).
-
En la sección Directivas, agregue y mueva una o más directivas a la lista de configuraciones.
Nota:
Las directivas llevan como prefijo un identificador de arrendatario (por ejemplo,
maasdocfour
) que es único para todos los arrendatarios.Nota:
Puede crear una política de acceso haciendo clic en Nueva o puede ir a Configuración > Usuarios y funciones > Políticas de acceso y crear políticas.
-
Haga clic en Crear.
Configurar grupos en la consola de NetScaler
En NetScaler Console, un grupo puede tener acceso tanto a nivel de funciones como a nivel de recursos. Por ejemplo, un grupo de usuarios puede tener acceso solo a instancias seleccionadas de NetScaler; otro grupo con solo unas pocas aplicaciones seleccionadas, etc.
Al crear un grupo, puede asignar roles al grupo, proporcionar acceso de nivel de aplicación al grupo y asignar usuarios al grupo. A todos los usuarios de ese grupo se les asignan los mismos derechos de acceso en NetScaler Console.
Puede administrar el acceso de un usuario en NetScaler Console en el nivel individual de las entidades de funciones de red. Puede asignar dinámicamente permisos específicos al usuario o al grupo a nivel de entidad.
NetScaler Console trata los servidores, los servicios, los grupos de servicios y los servidores virtuales como entidades de funciones de red.
-
Servidor virtual (Aplicaciones): Equilibrio de carga (
lb
), GSLB, conmutación de contexto (CS
), redirección de caché (CR
), autenticación (Auth
) y NetScaler Gateway (vpn
) - Servicios: Equilibrio de carga y servicios GSLB
- Grupo de servicios: Equilibrio de carga y grupos de servicios GSLB
- Servidores: servidores de equilibrio de carga
Para crear un grupo:
-
En NetScaler Console, vaya a Configuración > Usuarios y funciones > Grupos .
-
Haga clic en Agregar.
Aparece la página Crear grupo de sistemas.
-
En el campo Nombre de grupo, escriba el nombre del grupo.
-
En el campo Descripción del grupo, escribe una descripción de tu grupo. Proporcionar una buena descripción le ayuda a entender el rol y la función del grupo.
-
En la sección Funciones, mueva una o más funciones a la lista de funciones configuradas.
Nota:
Los roles llevan como prefijo un identificador de arrendatario (por ejemplo,
maasdocfour
) que es único para todos los arrendatarios. -
En la lista Disponible, puede hacer clic en Nuevo o Modificar y crear o modificar funciones.
Como alternativa, puede ir a Configuración > Usuarios y roles > Usuariosy crear o modificar usuarios.
-
Haga clic en Siguiente.
-
En la ficha Configuración de autorización, puede elegir recursos de las siguientes categorías:
- Grupos de Autoscale
- Instancias
- Aplicaciones
- Plantillas de configuración
- Proveedores y redes de IPAM
- StyleBooks
- Paquetes de configuración
- Nombres de dominio
Seleccione recursos específicos de las categorías a las que los usuarios pueden tener acceso.
Grupos de Autoscale:
Para seleccionar los grupos de Autoscale específicos que un usuario puede ver o administrar:
-
Desactive la casilla de verificación Todos los grupos de AutoScale y haga clic en Agregar grupos de AutoScale.
-
Seleccione los grupos de Autoscale necesarios de la lista y haga clic en Aceptar.
Instancias:
Para seleccionar las instancias específicas que un usuario puede ver o administrar:
-
Desactive la casilla Todas las instancias y haga clic en Seleccionar instancias.
-
Seleccione las instancias necesarias de la lista y haga clic en Aceptar.
Etiquetas:
Para autorizar a los usuarios a ver o gestionar instancias específicas en función de las etiquetas asociadas:
-
Desactive la casilla de verificación Todas las instancias y haga clic en Seleccionar etiquetas.
-
Seleccione las etiquetas necesarias de la lista y haga clic en Aceptar.
Más adelante, a medida que asocies más instancias a las etiquetas seleccionadas, los usuarios autorizados accederán automáticamente a las nuevas instancias.
Para obtener más información sobre las etiquetas y la asociación de etiquetas a las instancias, consulta Cómo crear etiquetas y asignarlas a instancias.
Aplicaciones:
La lista Elegir aplicaciones le permite conceder acceso a un usuario a las aplicaciones necesarias.
Puede conceder acceso a las aplicaciones sin seleccionar sus instancias. Porque las aplicaciones son independientes de sus instancias para conceder el acceso a los usuarios.
Al conceder a un usuario acceso a una aplicación, el usuario está autorizado a acceder solo a esa aplicación, independientemente de la selección de instancias.
Esta lista le ofrece las siguientes opciones:
-
Todas las aplicaciones: Esta opción está seleccionada por defecto. Agrega todas las aplicaciones que están presentes en la consola de NetScaler.
-
Todas las aplicaciones de instancias seleccionadas: Esta opción solo aparece si selecciona instancias de la categoría Todas las instancias. Agrega todas las aplicaciones presentes en la instancia seleccionada.
-
Aplicaciones específicas: esta opción le permite agregar las aplicaciones necesarias a las que quiere que accedan los usuarios. Haga clic en Agregar aplicaciones y seleccione las aplicaciones necesarias de la lista.
-
Seleccionar Tipo de Entidad Individual: Esta opción le permite seleccionar el tipo específico de entidad de función de red y las entidades correspondientes.
Puede agregar entidades individuales o seleccionar todas las entidades del tipo de entidad requerido para conceder acceso a un usuario.
La opción Aplicar a las entidades enlazadas también autoriza las entidades que están enlazadas al tipo de entidad seleccionado. Por ejemplo, si selecciona una aplicación y selecciona Aplicar también a las entidades enlazadas , NetScaler Console autoriza todas las entidades que están enlazadas a la aplicación seleccionada.
Nota:
Asegúrese de haber seleccionado solo un tipo de entidad si quiere autorizar entidades enlazadas.
Puede usar expresiones regulares para buscar y agregar las entidades de funciones de red que cumplan con los criterios de expresiones regulares de los grupos. La expresión regular especificada se conserva en NetScaler Console. Para agregar una expresión regular, lleve a cabo los siguientes pasos:
-
Haga clic en Agregar expresión regular.
-
Especifique la expresión regular en el cuadro de texto.
En la siguiente imagen se explica cómo usar una expresión regular para agregar una aplicación cuando se selecciona la opción Aplicaciones específicas :
En la siguiente imagen se explica cómo utilizar una expresión regular para agregar entidades de funciones de red cuando se elige la opción Seleccionar el tipo de entidad individual :
Si quiere agregar más expresiones regulares, haga clic en el icono +.
Nota:
La expresión regular solo coincide con el nombre del servidor para el tipo de entidad del servidor y no con la dirección IP del servidor.
Si selecciona la opción Aplicar también a las entidades enlazadas para una entidad detectada, el usuario puede acceder automáticamente a las entidades que están enlazadas a la entidad descubierta.
La expresión regular se almacena en el sistema para actualizar el alcance de la autorización. Cuando las nuevas entidades coinciden con la expresión regular de su tipo de entidad, NetScaler Console actualiza el alcance de autorización de las nuevas entidades.
Plantillas de configuración:
Si desea seleccionar la plantilla de configuración específica que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:
-
Borre todas las plantillas de configuración y haga clic en Agregar plantilla de configuración.
-
Seleccione la plantilla necesaria de la lista y haga clic en Aceptar.
Proveedores y redes de IPAM:
Si quiere agregar los proveedores y redes de IPAM específicos que un usuario puede ver o administrar, realice lo siguiente:
-
Agregar proveedores: Borra todos los proveedores y haz clic en Agregar proveedores. Puede seleccionar los proveedores necesarios y hacer clic en Aceptar.
-
Agregar redes: Borre todas las redes y haga clic en Agregar redes. Puede seleccionar las redes necesarias y hacer clic en Aceptar.
StyleBooks:
Si desea seleccionar el StyleBook específico que un usuario puede ver o administrar, siga estos pasos:
-
Desactive la casilla Todos los StyleBooks y haga clic en Agregar StyleBookal grupo. Puede seleccionar StyleBooks individuales o especificar una consulta de filtro para autorizar StyleBooks.
Si quiere seleccionar los StyleBooks individuales, seleccione los StyleBooks en el panel Individuales StyleBooks y haga clic en Guardar selección.
Si quiere utilizar una consulta para buscar StyleBooks, seleccione el panel Filtros personalizados. Una consulta es una cadena de pares clave-valor donde las claves son
name
,namespace
, yversion
.También puede utilizar expresiones regulares como valores para buscar y agregar StyleBooks que cumplan los criterios de expresiones regulares de los grupos. Una consulta de filtro personalizada para buscar StyleBooks admite las dos operaciones
And
yOr
.Ejemplo:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->
Esta consulta enumera los StyleBooks que cumplen las condiciones siguientes:
- El nombre de StyleBook es
lb-mon
olb
. - El espacio de nombres StyleBook es
com.citrix.adc.stylebooks
. - La versión de StyleBook es
1.0
.
Utilice una operación
Or
entre expresiones de valor definidas para la expresión clave.Ejemplo:
- La consulta
name=lb-mon|lb
es válida. Devuelve los StyleBooks que tienen un nombrelb-mon
olb
. - La consulta
name=lb-mon | version=1.0
no es válida.
Presione
Enter
para ver los resultados de la búsqueda y haga clic en Guardar consulta.La consulta guardada aparece en la consulta de filtros personalizados. Según la consulta guardada, la consola de NetScaler proporciona a los usuarios acceso a esos StyleBooks.
- El nombre de StyleBook es
-
Seleccione los StyleBooks necesarios de la lista y haga clic en Aceptar.
Puede seleccionar los StyleBooks necesarios cuando cree grupos y agregue usuarios a ese grupo. Cuando el usuario selecciona el StyleBook permitido, también se seleccionan todos los StyleBooks dependientes.
Paquetes de configuración:
En los paquetes de configuración, seleccione una de las siguientes opciones:
-
Todas las configuraciones: Esta opción está seleccionada de forma predeterminada. Permite a los usuarios administrar todas las configuraciones en ADM.
-
Todas las configuraciones de los StyleBooksseleccionados : esta opción agrega todos los paquetes de configuración del StyleBook seleccionado.
-
Configuraciones específicas: Esta opción le permite agregar configuraciones específicas de cualquier StyleBook.
-
Todas las configuraciones creadas por el grupo de usuarios: Esta opción permite a los usuarios acceder únicamente a las configuraciones creadas por usuarios del mismo grupo.
Puede seleccionar los paquetes de configuración aplicables al crear grupos y asignar usuarios a ese grupo.
Nombres de dominio:
Si quiere seleccionar el nombre de dominio específico que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:
-
Desactive la casilla Todos los nombres de dominio y haga clic en Agregar nombre de dominio.
-
Seleccione los nombres de dominio necesarios de la lista y haga clic en Aceptar.
-
Haga clic en Crear grupo.
-
En la sección Asignar usuarios, seleccione el usuario en la lista Disponible y agréguelo a la lista Configurada.
Nota:
También puede agregar nuevos usuarios haciendo clic en Nuevo.
- Haga clic en Finalizar.
Cómo cambia el acceso de usuario en función del ámbito de autorización
Cuando un administrador agrega un usuario a un grupo que tiene diferentes configuraciones de directiva de acceso, el usuario se asigna a más de un ámbito de autorización y directivas de acceso.
En este caso, la consola de NetScaler otorga al usuario acceso a las aplicaciones en función del alcance de autorización específico.
Considere un usuario asignado a un grupo que tiene dos directivas de directiva 1 y directiva 2.
-
Directiva 1: solo se muestran los permisos para las aplicaciones.
-
Directiva 2: Ver y modificar los permisos de las aplicaciones.
El usuario puede ver las aplicaciones especificadas en la Directiva 1. Además, este usuario puede ver y modificar las aplicaciones especificadas en la directiva 2. El acceso de edición a las aplicaciones Group-1 está restringido ya que no está en el ámbito de autorización Group-1.
Limitaciones
Las siguientes funciones de NetScaler Console no son totalmente compatibles con el RBAC:
-
Análisis: L os módulos de análisis no son totalmente compatibles con RBAC. La compatibilidad con RBAC se limita a un nivel de instancia y no se aplica a nivel de aplicación en los módulos de análisis de Gateway Insight, HDX Insight y Security Insight.
- Ejemplo 1: RBAC basado en instancias (compatible). Un administrador al que se le hayan asignado algunas instancias solo puede ver esas instancias en HDX Insight > Dispositivosy solo los servidores virtuales correspondientes en HDX Insight > Aplicaciones, ya que el RBAC se admite a nivel de instancia.
- Ejemplo 2: RBAC basado en aplicaciones (no compatible). Un administrador al que se le hayan asignado algunas aplicaciones puede ver todos los servidores virtuales en HDX Insight > Aplicaciones, pero no puede acceder a ellos, ya que el RBAC no es compatible a nivel de aplicaciones.
-
StyleBooks: RBAC no es totalmente compatible con StyleBooks.
- Imagine una situación en la que muchos usuarios tienen acceso a un único StyleBook, pero tienen permisos de acceso para diferentes instancias de NetScaler. Los usuarios pueden crear y actualizar paquetes de configuración en sus propias instancias, ya que no tienen acceso a otras instancias que no sean las suyas. Pero todavía pueden ver los paquetes de configuración y los objetos creados en instancias de NetScaler que no sean las suyas.