Directivas y perfiles de preautenticación
Importante:
El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.
Puede configurar NetScaler Gateway para comprobar los dispositivos de un usuario antes de que se autentiquen en NetScaler Gateway. Esto se puede usar para restringir el acceso si el dispositivo del usuario no cumple con los requisitos de la organización. Las comprobaciones de dispositivos se pueden implementar mediante directivas individuales específicas de un servidor virtual o de forma global, tal como se describe en los dos procedimientos siguientes.
Las directivas de preautenticación consisten en un perfil y una expresión. El perfil se configura para que utilice una expresión que permita o deniegue la ejecución de un proceso en el dispositivo del usuario. Por ejemplo, el archivo de texto clienttext.txt se ejecuta en el dispositivo del usuario. Cuando el usuario inicia sesión en NetScaler Gateway, puede permitir o denegar el acceso en función de si el archivo de texto se está ejecutando. Si no quiere permitir que los usuarios inicien sesión cuando se ejecuta el proceso, puede configurar un perfil de preautenticación para detener el proceso antes de que los usuarios inicien sesión.
Puede configurar los siguientes ajustes para las directivas de preautenticación:
- Expresión. Incluye la siguiente configuración para ayudarle a crear expresiones:
- Expresión. Muestra todas las expresiones.
- Haga coincidir cualquier expresión. Configura la directiva para que coincida con cualquiera de las expresiones presentes en la lista de expresiones seleccionadas.
- Coincidir con todas las expresiones. Configura la directiva para que coincida con todas las expresiones presentes en la lista de expresiones seleccionadas.
- Expresiones tabulares. Crea una expresión compuesta con las expresiones existentes mediante los operadores
OR (||) or AND (&&)
. - Formato libre avanzado. Crea expresiones compuestas personalizadas mediante los nombres de las expresiones y los operadores
OR (||) and AND (&&)
. Elija solo las expresiones que necesite y omita otras expresiones de la lista de expresiones seleccionadas. - Add: Crea una expresión.
- Modificar. Modifica una expresión existente.
- Remove: Elimina la expresión seleccionada de la lista de expresiones compuestas.
- Expresiones con nombre. Seleccione una expresión con nombre configurada. Puede seleccionar expresiones con nombre en el menú de expresiones ya presentes en NetScaler Gateway.
- Agregar expresión. Agrega la expresión con nombre seleccionada a la directiva.
- Reemplazar expresión. Reemplaza la expresión con nombre seleccionada en la directiva.
- Vista previa de expresión. Muestra la cadena detallada que se configura en NetScaler Gateway al seleccionar una expresión con nombre.
Configurar el perfil de preautenticación
Para configurar un perfil de preautenticación de forma global mediante la interfaz gráfica de usuario
- En la ficha Configuración, haga clic en NetScaler Gateway y, a continuación, en Configuración global.
- En el panel de detalles, en Configuración, haga clic en Cambiar la configuración de preautenticación.
- En el cuadro de diálogo Configuración de preautenticación global, configure la configuración:
-
En Acción , selecciona Permitir o Denegar .
Deniega o permite que los usuarios inicien sesión después de que se produzca Endpoint Analysis.
-
En Procesos que se van a cancelar, introduzca el proceso.
Especifica los procesos que debe detener el complemento Endpoint Analysis.
-
En Archivos que se van a eliminar, introduzca el nombre del archivo.
Especifica los archivos que debe eliminar el complemento Endpoint Analysis. Al eliminar o cancelar un proceso, se muestra una notificación a los usuarios finales.
-
- En Expresión, puede dejar la expresión ns_true o crear una expresión para una aplicación específica, como un antivirus o un software de seguridad, y, a continuación, hacer clic en Aceptar.
Para configurar un perfil de preautenticación mediante la interfaz gráfica de usuario
- Vaya a Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic enPre-Authentication**EPA.
- En el panel de detalles, en la pestaña Perfiles , haga clic en Agregar .
- En Nombre, escriba el nombre de la aplicación que se va a comprobar.
- En Acción, selecciona PERMITIR o DENEGAR.
- En Procesos que se van a cancelar, escriba el nombre del proceso que se va a detener.
-
En Archivos que se van a eliminar, escriba el nombre del archivo que se va a eliminar, como c:\clientext.txt, haga clic en Crear y, a continuación, haga clic en Cerrar.
Especifica los archivos que debe eliminar el complemento Endpoint Analysis. Al eliminar o cancelar un proceso, se muestra una notificación a los usuarios finales.
Si usa la GUI para configurar un perfil de preautenticación, cree la directiva de preautenticación haciendo clic en Agregar en la ficha Directivas. En el cuadro de diálogo Crear directiva de preautenticación, seleccione el perfil en el menú Perfil de solicitud.
Agregar una expresión preconfigurada a una directiva de preautenticación
NetScaler Gateway incluye expresiones preconfiguradas, denominadas expresiones con nombre. Al configurar una directiva, puede utilizar una expresión con nombre para la directiva. Por ejemplo, quiere que la directiva de preautenticación compruebe la existencia de Symantec antivirus 10 con definiciones de virus actualizadas. Cree una directiva de preautenticación y agregue la expresión tal y como se describe en el procedimiento siguiente.
Al crear una directiva de sesión o preautenticación, puede crear la expresión al crear la directiva. A continuación, puede aplicar la directiva, con la expresión, a servidores virtuales o de forma global.
En el procedimiento siguiente se describe cómo agregar una expresión antivirus preconfigurada a una directiva mediante la utilidad de configuración.
Agregar una expresión con nombre a una directiva de preautenticación
- Vaya a Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic enPre-Authentication**EPA.
- En el panel de detalles, seleccione una directiva y, a continuación, haga clic en Abrir.
- Junto a Expresiones con nombre, seleccione Antivirusy seleccione el producto antivirus de la lista.
- Haga clic en Agregar expresión, haga clic en Crear y, a continuación, en Cerrar.
Configurar expresiones personalizadas
Una expresión personalizada es aquella que se crea dentro de la directiva. Al crear una expresión, configura los parámetros de la expresión.
También puede crear expresiones personalizadas para hacer referencia a las cadenas utilizadas con más frecuencia. Esto facilita el proceso de configuración de directivas de preautenticación y también el mantenimiento de las expresiones configuradas.
Por ejemplo, quiere crear una expresión personalizada para Symantec Antivirus 10 y asegurarse de que las definiciones de virus no tengan más de tres días de antigüedad. Cree una directiva y, a continuación, configure la expresión para especificar las definiciones de virus.
El procedimiento siguiente muestra cómo crear una expresión en una directiva de preautenticación. Puede seguir los mismos pasos en una directiva de sesión.
Cree una directiva de preautenticación y una expresión personalizada
- Vaya a Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic en Pre-Authentication EPA.
- En el panel de detalles, haga clic en Agregar.
- En Nombre, escriba un nombre para la directiva.
- Junto a Solicitar perfil, haga clic en Nuevo.
- En el cuadro de diálogo Crear perfil de autenticación, en Nombre, escriba un nombre para el perfil y, en Acción, seleccione Permitir y, a continuación, haga clic en Crear.
- En el cuadro de diálogo Crear directiva de autenticación previa, junto a Coincidir concualquier expresión, haga clic en Agregar.
- En Tipo de expresión, seleccione Seguridad del cliente.
- Configure las siguientes opciones:
- En Componente, seleccione Antivirus.
- En Nombre, escriba un nombre para la aplicación.
- En Qualifier, selecciona Versión.
- En Operador, seleccione ==.
- En Valor, escriba el valor.
- En Freshness, escriba 3 y, a continuación, haga clic en Aceptar.
- En el cuadro de diálogo Crear directiva de preautenticación, haga clic en Crear y, a continuación, en Cerrar.
Al configurar una expresión personalizada, se agrega al cuadro Expresión del cuadro de diálogo de la directiva.
Configurar expresiones compuestas
Una directiva de preautenticación puede tener un perfil y varias expresiones. Si configura expresiones compuestas, utiliza operadores para especificar las condiciones de la expresión. Por ejemplo, puede configurar expresiones compuestas para exigir que el dispositivo del usuario ejecute una de las siguientes aplicaciones antivirus:
- Symantec Antivirus 10
- McAfee Antivirus 11
- Sophos Antivirus 4
La expresión se configura con el operador OR para comprobar las tres aplicaciones anteriores. Si NetScaler Gateway detecta la versión correcta de alguna de las aplicaciones del dispositivo del usuario, los usuarios pueden iniciar sesión. La expresión del cuadro de diálogo de directivas aparece de la siguiente manera:
av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4
Para obtener más información sobre las expresiones compuestas, consulte Configuración de expresiones compuestas.
Enlazar directivas de preautenticación
Después de crear la directiva de preautenticación, vincule la directiva al nivel al que se aplica. Puede enlazar las directivas de preautenticación a servidores virtuales o de forma global.
Crear y enlazar una directiva de preautenticación de forma global
- En la ficha Configuración, haga clic en NetScaler Gateway y, a continuación, en Configuración global.
- En el panel de detalles, haga clic en Cambiar la configuración de preautenticación.
- En el cuadro de diálogo Configuración global de preautenticación, en Acción, seleccione Permitir o Denegar.
- En Nombre, escriba un nombre para la directiva.
- En el cuadro de diálogo Configuración de preautenticación global, junto a Expresiones con nombre, seleccione General, valor True, haga clic en Agregar expresión, haga clic en Crear y, a continuación, haga clic en Cerrar.
Enlazar una directiva de preautenticación a un servidor virtual
- En la ficha Configuración, haga clic en NetScaler Gateway y, a continuación, en Servidores virtuales.
- En el panel de detalles, seleccione un servidor virtual y haga clic en Open.
- En el cuadro de diálogo configurar el servidor virtual de NetScaler Gateway, haga clic en la ficha Directivas y, a continuación, en Preautenticación.
- En Detalles, haga clic en Insertar directivay, a continuación, en Nombre de directiva, seleccione la directiva de preautenticación.
- Haga clic en Aceptar.
Desvincular y quitar directivas de preautenticación
Si es necesario, puede quitar una directiva de preautenticación de NetScaler Gateway. Antes de quitar una directiva de preautenticación, desvincúlelo del servidor virtual o de forma global.
Desvincular una directiva global de preautenticación
- Vaya a Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic enPre-Authentication**EPA.
- En el panel de detalles, seleccione una directiva y, a continuación, en Acción, haga clic en Enlaces globales.
- En el cuadro de diálogo Vincular o desvincular directivas de preautenticación a global, seleccione una directiva, haga clic en Desvincular directivay, a continuación, haga clic en Aceptar.
Desvincular una directiva de preautenticación de un servidor virtual
- En la ficha Configuración, haga clic en NetScaler Gateway y, a continuación, en Servidores virtuales.
- En el cuadro de diálogo Configurar servidor virtual de NetScaler Gateway, haga clic en la ficha Directivas y, a continuación, en Preautenticación.
- Seleccione la directiva y, a continuación, haga clic en Desvincular directiva.
Cuando la directiva de preautenticación es independiente, puede quitarla de NetScaler Gateway.
Quitar una directiva de preautenticación
- Vaya a Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic en Pre-Authentication EPA.
- en el panel de detalles, seleccione una directiva y, a continuación, haga clic en Eliminar.
Establecer la prioridad de las directivas de preautenticación
Puede tener varias directivas de preautenticación vinculadas a distintos niveles. Por ejemplo, tiene una directiva que comprueba si una aplicación antivirus específica está enlazada globalmente y una directiva de firewall vinculada al servidor virtual. Cuando los usuarios inician sesión, se aplica primero la directiva vinculada al servidor virtual. La directiva que está vinculada a nivel mundial se aplica en segundo lugar.
Puede cambiar el orden en que se realizan los análisis de preautenticación. Para que NetScaler Gateway aplique primero la directiva global, cambie el número de prioridad de la directiva vinculada al servidor virtual, asignándole un número de prioridad superior al de la directiva vinculada globalmente. Por ejemplo, establezca el número de prioridad de la directiva global en uno y la directiva del servidor virtual en dos. Cuando los usuarios inician sesión, NetScaler Gateway ejecuta primero el análisis de directivas globales y, en segundo lugar, el análisis de directivas del servidor virtual.
Cambiar la prioridad de una directiva de preautenticación
- En la ficha Configuración, haga clic en NetScaler Gateway y, a continuación, en Servidores virtuales.
- En el panel de detalles, seleccione un servidor virtual y haga clic en Open.
- En la ficha Directivas, haga clic en Autenticación previa.
- En Prioridad, escriba el número de prioridad de la directiva y, a continuación, haga clic en Aceptar.