Directivas posteriores a la autenticación
Importante:
El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.
Una directiva posterior a la autenticación es un conjunto de reglas genéricas que el dispositivo del usuario debe cumplir para mantener activa la sesión. Si se produce un error en la directiva, finaliza la conexión con NetScaler Gateway. Al configurar la directiva posterior a la autenticación, puede configurar cualquier configuración para las conexiones de usuario que se puedan hacer condicionales.
Las directivas de sesión se utilizan para configurar directivas posteriores a la autenticación. En primer lugar, crea los usuarios a los que se aplica la directiva. A continuación, agregará los usuarios a un grupo. A continuación, enlazará las aplicaciones de sesión, directivas de tráfico e intranet al grupo.
También puede especificar que los grupos sean grupos de autorización. Este tipo de grupo permite asignar usuarios a grupos en función de una expresión de verificación del dispositivo cliente dentro de la directiva de sesión.
También puede configurar una directiva posterior a la autenticación para poner a los usuarios en un grupo de cuarentena si el dispositivo de usuario no cumple los requisitos de la directiva. Una directiva simple incluye una expresión de comprobación del dispositivo cliente y un mensaje. Cuando los usuarios están en el grupo de cuarentena, los usuarios pueden iniciar sesión en NetScaler Gateway; sin embargo, tienen acceso limitado a los recursos de red.
No se puede crear un grupo de autorización ni un grupo de cuarentena mediante el mismo perfil y directiva de sesión. Los pasos para crear la directiva posterior a la autenticación son los mismos. Al crear la directiva de sesión, selecciona un grupo de autorización o un grupo de cuarentena. Puede crear dos directivas de sesión y vincular cada directiva al grupo.
Las directivas posteriores a la autenticación también se utilizan con SmartAccess. Para obtener más información sobre SmartAccess, consulte Configuración de SmartAccess en NetScaler Gateway.
Nota:
Esta funcionalidad solo funciona con el cliente Citrix Secure Access. Si los usuarios inician sesión con la aplicación Citrix Workspace, el análisis de Endpoint Analysis se ejecuta solo al iniciar sesión.
Configurar una directiva posterior a la autenticación
Se utiliza una directiva de sesión para configurar una directiva posterior a la autenticación. Una directiva simple incluye una expresión de comprobación del dispositivo cliente y un mensaje.
Para configurar una directiva posterior a la autenticación mediante la interfaz gráfica de usuario
- Expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
- En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
- En Nombre, escriba un nombre para la directiva.
- Junto a Solicitar perfil, haga clic en Nuevo.
- En Nombre, escriba un nombre para el perfil.
- En la ficha Seguridad, haga clic en Configuración avanzada.
- En Seguridad del cliente, haga clic en Supedición global y, a continuación, haga clic en Nuevo.
- Configure la expresión de comprobación del dispositivo cliente y, a continuación, haga clic en Crear.
- En Seguridad del cliente, en Grupo de cuarentena, seleccione un grupo.
- En Mensaje de error, escriba el mensaje que desea que reciban los usuarios si falla el análisis posterior a la autenticación.
- En Grupos de autorización, haga clic en Sobrescribir global, seleccione un grupo, haga clic en Agregar, haga clic en Aceptar y, a continuación, haga clic en Crear.
- En el cuadro de diálogo Crear directiva de sesión, junto a Expresiones con nombre, seleccione General, seleccione Valor verdadero, haga clic en Agregar expresión, en Crear y, a continuación, en Cerrar.
Configurar la frecuencia de los análisis posteriores a la autenticación
Puede configurar NetScaler Gateway para que ejecute la directiva posterior a la autenticación a intervalos especificados. Por ejemplo, configuró una directiva de verificación del dispositivo cliente y desea que se ejecute en el dispositivo del usuario cada 10 minutos. Puede configurar esta frecuencia mediante la creación de una expresión personalizada dentro de la directiva.
Nota:
La función de comprobación de frecuencia para las directivas posteriores a la autenticación solo funciona con el cliente Citrix Secure Access. Si los usuarios inician sesión con la aplicación Citrix Workspace, el análisis de Endpoint Analysis se ejecuta solo al iniciar sesión.
Puede establecer la frecuencia (en minutos) al configurar la directiva de verificación del dispositivo cliente siguiendo el procedimiento Configuración de una directiva de posautenticación. La siguiente figura muestra dónde puede introducir un valor de frecuencia en el cuadro de diálogo Agregar expresión .
Grupos de cuarentena y autorización
Cuando los usuarios inician sesión en NetScaler Gateway, los asigna a un grupo que configura en NetScaler Gateway o en un servidor de autenticación de la red segura. Si un usuario falla un análisis posterior a la autenticación, puede asignarlo a un grupo restringido, denominado grupo de cuarentena, que restringe el acceso a los recursos de red.
También puede utilizar grupos de autorización para restringir el acceso de los usuarios a los recursos de red. Por ejemplo, es posible que un grupo de personal contratado tenga acceso únicamente a su servidor de correo electrónico y a un recurso compartido de archivos. Cuando los dispositivos de usuario superan los requisitos de verificación de dispositivos que definió en NetScaler Gateway, los usuarios pueden convertirse en miembros de grupos de forma dinámica.
Utilice la configuración global o las directivas de sesión para configurar grupos de cuarentena y autorización vinculados a un usuario, grupo o servidor virtual. Puede asignar usuarios a grupos en función de una expresión de verificación del dispositivo cliente dentro de la directiva de sesión. Cuando el usuario es miembro de un grupo, NetScaler Gateway aplica la directiva de sesión basada en la pertenencia al grupo.
Configurar grupos de autorización
Al configurar un análisis de Endpoint Analysis, puede agregar usuarios de forma dinámica a un grupo de autorización cuando el dispositivo de usuario supera el análisis. Por ejemplo, crea un análisis de Endpoint Analysis que comprueba la pertenencia al dominio del dispositivo de usuario. En NetScaler Gateway, cree un grupo local denominado Equipos unidos a un dominio y agréguelo como grupo de autorización para cualquier persona que supere el análisis. Cuando los usuarios se unen al grupo, los usuarios heredan las directivas asociadas al grupo.
No se pueden enlazar directivas de autorización de forma global ni a un servidor virtual. Puede utilizar grupos de autorización para proporcionar un conjunto predeterminado de directivas de autorización cuando los usuarios no están configurados para ser miembros de otro grupo en NetScaler Gateway.
Para configurar un grupo de autorización mediante una directiva de sesión
- Vaya a NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
- En el panel de detalles, en la pestaña Políticas, haga clic en Agregar .
- En Nombre, escriba un nombre para la directiva.
- Junto a Solicitar perfil, haga clic en Nuevo.
- En Nombre, escriba un nombre para el perfil.
- En la ficha Seguridad, haga clic en Configuración avanzada.
- En Grupos de autorización, haga clic en Supeditar global y seleccione un grupo de la lista desplegable.
- Haga clic en Agregar, en Aceptar y, a continuación, en Crear.
- En el cuadro de diálogo Crear política de sesión , junto a Expresiones con nombre, seleccione General , seleccione Valor verdadero , haga clic en Agregar expresión , en Crear y, a continuación, en Cerrar .
Después de crear la directiva de sesión, puede vincularla a un usuario, grupo o servidor virtual.
Para configurar un grupo de autorización global
- Expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
- En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
- En la ficha Seguridad, haga clic en Configuración avanzada.
- En Grupo de autorización, seleccione un grupo de la lista desplegable.
- Haga clic en Agregar y, a continuación, en Aceptar.
Si desea eliminar un grupo de autorización de forma global o de la directiva de sesión, en el cuadro de diálogo Configuración de seguridad avanzada, seleccione el grupo de autorización de la lista y, a continuación, haga clic en Eliminar.
Configurar grupos de cuarentena
Al configurar un grupo de cuarentena, configura la expresión de verificación del dispositivo cliente mediante el cuadro de diálogo Configuración de seguridad: configuración avanzada de un perfil de sesión.
Para configurar la expresión de comprobación del dispositivo cliente para un grupo de cuarentena
- Vaya a NetScaler Gateway > Directivas y haga clic en Sesión.
- En el panel de detalles, en la pestaña Políticas, haga clic en Agregar .
- En Nombre, escriba un nombre para la directiva.
- Junto a Solicitar perfil, haga clic en Nuevo.
- En Nombre, escriba un nombre para el perfil.
- En la ficha Seguridad, haga clic en Configuración avanzada.
- En Seguridad del cliente, haga clic en Supedición global y, a continuación, haga clic en Nuevo.
- En el cuadro de diálogo Expresión de cliente, configure la expresión de comprobación del dispositivo cliente y, a continuación, haga clic en Crear.
- En Grupo de cuarentena, seleccione el grupo.
- En Mensaje de error, escriba un mensaje que describa el problema para los usuarios y, a continuación, haga clic en Crear.
- En el cuadro de diálogo Crear directiva de sesión, junto a Expresiones nombradas, seleccione General, seleccione Valor verdadero y haga clic en Agregar expresión.
- Haga clic en Crear y, a continuación, en Cerrar.
Después de crear la directiva de sesión, enlaza a un usuario, grupo o servidor virtual.
Nota:
Si se produce un error en el análisis de Endpoint Analysis y se coloca al usuario en el grupo de cuarentena, las directivas vinculadas al grupo de cuarentena solo surten efecto si no hay directivas vinculadas directamente al usuario que tengan un número de prioridad igual o inferior al de las directivas vinculadas al grupo de cuarentena.
Para configurar un grupo de cuarentena global
- Expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
- En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
- En la pestaña Seguridad , haz clic en Configuración avanzada .
- En Seguridad del cliente, configure la expresión de comprobación del dispositivo cliente.
- En Grupo de cuarentena, seleccione el grupo.
- En Mensaje de error, escriba un mensaje que describa el problema para los usuarios y, a continuación, haga clic en Aceptar.