Stratégies d’autorisation
Lorsque vous configurez une stratégie d’autorisation, vous pouvez la définir pour autoriser ou refuser l’accès aux ressources réseau du réseau interne. Par exemple, pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l’expression suivante :
CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)
Les stratégies d’autorisation sont appliquées aux utilisateurs et aux groupes. Une fois qu’un utilisateur est authentifié, NetScaler Gateway effectue une vérification d’autorisation de groupe en obtenant les informations de groupe de l’utilisateur auprès d’un serveur RADIUS, LDAP ou TACACS+. Si les informations de groupe sont disponibles pour l’utilisateur, NetScaler Gateway vérifie les ressources réseau autorisées pour le groupe.
Pour contrôler les ressources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d’autorisation. Si vous n’avez pas besoin de créer des stratégies d’autorisation, vous pouvez configurer l’autorisation globale par défaut.
Si vous créez une expression dans la stratégie d’autorisation qui refuse l’accès à un chemin d’accès au fichier, vous ne pouvez utiliser que le chemin d’accès au sous-répertoire et non le répertoire racine. Par exemple, utilisez fs.path contient “\\dir1\\dir2”” au lieu de fs.path contient “\\rootdir\\dir1\\dir2. Si vous utilisez la deuxième version de cet exemple, la stratégie échoue.
Après avoir configuré la stratégie d’autorisation, vous pouvez la lier à un utilisateur ou à un groupe.
Par défaut, les stratégies d’autorisation sont d’abord validées par rapport aux stratégies que vous liez au serveur virtuel, puis par rapport aux stratégies liées globalement. Si vous liez une stratégie globalement et que vous souhaitez qu’elle soit prioritaire sur une stratégie que vous liez à un utilisateur, un groupe ou un serveur virtuel, vous pouvez modifier le numéro de priorité de la stratégie. Les numéros de priorité commencent à zéro. Un numéro de priorité inférieur donne à la stratégie une priorité plus élevée.
Par exemple, si la stratégie globale a un numéro de priorité et que l’utilisateur a une priorité de deux, la stratégie d’authentification globale est appliquée en premier.
Important :
- Les stratégies d’autorisation classiques sont appliquées uniquement au trafic TCP.
La stratégie d’autorisation avancée peut être appliquée à tous les types de trafic (TCP/UDP/ICMP/DNS).
To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.
- While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
- The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.
Pour plus d’informations sur les stratégies d’autorisation avancées, consultez l’article https://support.citrix.com/article/CTX232237.
Configurer et lier une stratégie d’autorisation
Configurer une stratégie d’autorisation à l’aide de l’interface graphique
- Accédez à NetScaler Gateway > Stratégies > Autorisation.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la stratégie.
- Dans Action, sélectionnez Autoriser ou Refuser.
- Dans Expression, cliquez sur Expression Editor.
- Pour configurer les expressions, cliquez sur Sélectionner et choisissez les éléments nécessaires.
Voici quelques exemples d’expressions,
-
HTTP.REQ.USER.IS_MEMBER_OF(\"AllowedGroup\")
- Vous pouvez autoriser ou refuser l’accès à un utilisateur si celui-ci est membre du groupe d’utilisateurs « AllowedGroup ». -
CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20)
- Vous pouvez autoriser ou refuser l’accès si l’adresse IP de destination du client se situe dans une certaine plage. -
HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25)
- Vous pouvez autoriser ou refuser l’accès à l’utilisateur si le nom d’hôte de sa demande HTTP contient le texte « portal-serv » ou si l’adresse IP de destination de la machine cliente se trouve dans le sous-réseau 10.102.75.0/25.
-
- Cliquez sur Terminé lorsque votre expression est terminée.
- Cliquez sur Créer.
Lier une stratégie d’autorisation à un utilisateur à l’aide de l’interface graphique
- Accédez à NetScaler Gateway > Administration des utilisateurs.
- Cliquez sur Utilisateurs AAA.
- Dans le volet d’informations, sélectionnez un utilisateur, puis cliquez sur Modifier.
- Dans les paramètres avancés, cliquez sur Stratégies d’autorisation.
- Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
- Dans Priorité, définissez le numéro de priorité.
- Dans Type, sélectionnez le type de demande, puis cliquez sur OK.
Lier une stratégie d’autorisation à un groupe à l’aide de l’interface graphique
- Accédez à NetScaler Gateway> Administration des utilisateurs.
- Cliquez sur AAA Groups.
- Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Modifier.
- Dans les paramètres avancés, cliquez sur Stratégies d’autorisation.
- Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
- Dans Priorité, définissez le numéro de priorité.
- Dans Type, sélectionnez le type de demande, puis cliquez sur OK.
L’autorisation spécifie les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils se connectent à NetScaler Gateway. Le paramètre par défaut de l’autorisation consiste à refuser l’accès à toutes les ressources réseau. Citrix recommande d’utiliser le paramètre global par défaut, puis de créer des stratégies d’autorisation pour définir les ressources réseau auxquelles les utilisateurs peuvent accéder.
Vous configurez l’autorisation sur NetScaler Gateway à l’aide d’une stratégie et d’expressions d’autorisation. Après avoir créé une stratégie d’autorisation, vous pouvez la lier aux utilisateurs ou aux groupes que vous avez configurés sur l’appliance.
Autorisation globale par défaut
Pour définir les ressources auxquelles les utilisateurs ont accès sur le réseau interne, vous pouvez configurer l’autorisation globale par défaut. Vous configurez l’autorisation globale en autorisant ou en refusant l’accès aux ressources réseau globalement sur le réseau interne.
Toute action d’autorisation globale que vous créez est appliquée à tous les utilisateurs auxquels aucune stratégie d’autorisation n’est déjà associée, soit directement, soit par l’intermédiaire d’un groupe. Une stratégie d’autorisation d’utilisateur ou de groupe remplace toujours l’action d’autorisation globale. Si l’action d’autorisation par défaut est définie sur Refuser, vous devez appliquer des stratégies d’autorisation à tous les utilisateurs ou groupes afin de rendre les ressources réseau accessibles à ces utilisateurs ou groupes. Cette exigence contribue à améliorer la sécurité.
Pour définir l’autorisation globale par défaut :
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres globaux.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
- Dans l’onglet Sécurité, en regard de Action d’autorisation par défaut, sélectionnez Autoriser ou Refuser, puis cliquez sur OK.