Utilisateurs et groupes
Après avoir configuré l’authentification, l’autorisation et l’audit de la configuration de base, vous créez des utilisateurs et des groupes. Vous créez d’abord un compte d’utilisateur pour chaque personne qui s’authentifie via l’appliance Citrix ADC. Si vous utilisez l’authentification locale contrôlée par l’appliance Citrix ADC elle-même, vous créez des comptes d’utilisateur locaux et attribuez des mots de passe à chacun de ces comptes.
Vous créez également des comptes d’utilisateur sur l’appliance Citrix ADC si vous utilisez un serveur d’authentification externe. Dans ce cas, cependant, chaque compte d’utilisateur doit correspondre exactement à un compte pour cet utilisateur sur le serveur d’authentification externe, et vous n’affectez pas de mots de passe aux comptes d’utilisateur que vous créez sur Citrix ADC. Le serveur d’authentification externe gère les mots de passe des utilisateurs qui s’authentifient auprès du serveur d’authentification externe.
Si vous utilisez un serveur d’authentification externe, vous pouvez toujours créer des comptes d’utilisateur locaux sur l’appliance Citrix ADC si, par exemple, vous souhaitez autoriser des utilisateurs temporaires (tels que les visiteurs) à se connecter mais ne souhaitez pas créer d’entrées pour ces utilisateurs sur le serveur d’authentification. Vous attribuez un mot de passe à chaque compte d’utilisateur local, comme vous le feriez si vous utilisiez l’authentification locale pour tous les comptes d’utilisateur.
Chaque compte d’utilisateur doit être lié à des stratégies d’authentification et d’autorisation. Pour simplifier cette tâche, vous pouvez créer un ou plusieurs groupes et leur attribuer des comptes d’utilisateur. Vous pouvez ensuite lier des stratégies à des groupes au lieu de comptes d’utilisateur individuels.
Configurer des stratégies avec des groupes
Après avoir configuré des groupes, vous pouvez utiliser la boîte de dialogue Groupe pour appliquer des stratégies et des paramètres qui spécifient l’accès utilisateur. Si vous utilisez l’authentification locale, vous créez des utilisateurs et les ajoutez à des groupes configurés sur Citrix Gateway. Les utilisateurs héritent ensuite des paramètres de ce groupe.
Vous pouvez configurer les stratégies ou paramètres suivants pour un groupe d’utilisateurs dans la boîte de dialogue Groupe :
- Utilisateurs
- Stratégies d’autorisation
- Règles d’audit
- Stratégies de session
- Stratégies de trafic
- Signets
- Applications Intranet
- Adresses IP de l’intranet
Dans votre configuration, vous pouvez avoir des utilisateurs appartenant à plusieurs groupes. En outre, chaque groupe peut avoir une ou plusieurs stratégies de session liées, avec différents paramètres configurés. Les utilisateurs appartenant à plusieurs groupes héritent des stratégies de session affectées à tous les groupes auxquels l’utilisateur appartient. Pour vérifier quelle évaluation de stratégie de session a priorité sur l’autre, vous devez définir la priorité de la stratégie de session.
Par exemple, vous avez group1 qui est lié par une stratégie de session configurée avec la page d’accueil www.homepage1.com. Group2 est lié par une stratégie de session configurée avec la page d’accueil www.homepage2.com. Lorsque ces stratégies sont liées à des groupes respectifs sans numéro de priorité ou avec un même numéro de priorité, la page d’accueil qui apparaît aux utilisateurs qui appartiennent aux deux groupes dépend de la stratégie traitée en premier. En définissant un numéro de priorité inférieur, ce qui donne une priorité plus élevée, pour la stratégie de session avec la page d’accueil www.homepage1.com, vous pouvez vous assurer que les utilisateurs qui appartiennent aux deux groupes reçoivent la page d’accueil www.homepage1.com.
Si aucun numéro de priorité n’est attribué aux stratégies de session ou n’ont pas le même numéro de priorité, la priorité est évaluée dans l’ordre suivant :
- Utilisateur
- Groupe
- Serveur virtuel
- Global
Si les stratégies sont liées au même niveau, sans numéro de priorité ou si les stratégies ont le même numéro de priorité, l’ordre d’évaluation correspond à l’ordre de liaison de la stratégie. Les stratégies qui sont liées d’abord à un niveau reçoivent la priorité sur les stratégies liées ultérieurement.
Si nous avons un utilisateur lié à plusieurs groupes avec chaque groupe ayant IIP lié, l’utilisateur peut obtenir une adresse IP gratuite de n’importe lequel des groupes liés.
Créer des utilisateurs et des groupes
Configurer l’authentification, l’autorisation et l’audit des utilisateurs locaux à l’aide de l’interface graphique
- Accédez à Sécurité > AAA - Trafic des applications > Utilisateurs de Citrix Gateway, développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Utilisateurs AAA.
-
Dans le volet d’informations, effectuez l’une des opérations suivantes :
- Pour créer un nouveau compte d’utilisateur, cliquez sur Ajouter.
- Pour modifier un compte d’utilisateur existant, sélectionnez-le, puis cliquez sur Ouvrir.
- Dans la boîte de dialogue Créer un utilisateur AAA, dans la zone de texte Nom d’utilisateur, tapez un nom pour l’utilisateur.
- Si vous créez un compte d’utilisateur authentifié localement, désactivez la case à cocher Authentification externe et fournissez un mot de passe local que l’utilisateur utilise pour ouvrir une session.
- Cliquez sur Créer ou OK, puis cliquez sur Fermer. Un message apparaît dans la barre d’état indiquant que l’utilisateur a bien été configuré.
Configurez l’authentification, l’autorisation et l’audit des groupes locaux et ajoutez des utilisateurs à l’aide de l’utilitaire de configuration
- Accédez à Sécurité > AAA - Trafic des applications > Groupes à partir de Citrix Gateway, développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA.
- Dans le volet d’informations, effectuez l’une des opérations suivantes :
- Pour créer un groupe, cliquez sur Ajouter.
- Pour modifier un groupe existant, sélectionnez-le, puis cliquez sur Modifier.
- Si vous créez un groupe, dans la boîte de dialogue Créer un groupe AAA, dans la zone de texte Nom du groupe, tapez un nom pour le groupe.
-
Dans la zone Avancé à droite, cliquez sur Utilisateurs AAA .
- Pour ajouter un utilisateur au groupe, sélectionnez-le, puis cliquez sur Ajouter.
- Pour supprimer un utilisateur du groupe, sélectionnez-le, puis cliquez sur Supprimer.
- Pour créer un nouveau compte d’utilisateur et l’ajouter au groupe, cliquez sur l’icône Plus, puis suivez les instructions de « Pour configurer l’authentification, l’autorisation et l’audit des utilisateurs locaux à l’aide de l’utilitaire de configuration. »
- Cliquez sur Créer ou sur OK. Le groupe que vous avez créé apparaît dans la page Groupes AAA .
Supprimer un groupe à l’aide de l’interface graphique
Vous pouvez également supprimer des groupes d’utilisateurs de Citrix Gateway.
- Accédez à Sécurité > AAA - Trafic des applications > Groupes à partir de Citrix Gateway, ExpandCitrix Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA. Dans le volet d’informations, sélectionnez le groupe, puis cliquez sur Supprimer.
Configurer l’authentification, l’autorisation et l’audit des utilisateurs locaux à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes :
add aaa group <groupname>
bind aaa group <groupname> -username <username>
<!--NeedCopy-->
Exemple :
add aaa group group-2
bind aaa group group-2 -username user-2
<!--NeedCopy-->
Supprimer des utilisateurs d’un groupe d’authentification, d’autorisation et d’audit à l’aide de l’interface de ligne de commande
À l’invite de commandes, dissociez les utilisateurs du groupe en tapant la commande suivante une fois pour chaque compte d’utilisateur lié au groupe :
unbind aaa group <groupname> -username <username><!--NeedCopy-->
**Exemple :**
<!--NeedCopy-->
unbind aaa group group-hr -username user-hr-1
### Supprimer un groupe d'authentification, d'autorisation et d'audit à l'aide de l'interface de ligne de commande
Supprimez d'abord tous les utilisateurs du groupe. Ensuite, à l'invite de commandes, tapez la commande suivante pour supprimer un groupe Citrix ADC AAA et vérifier la configuration :
<!--NeedCopy-->
rm aaa group
**Exemple :**
<!--NeedCopy-->
rm aaa group group-hr
> **Remarque**
>
>Vous ne pouvez pas ajouter de nom d'utilisateur avec un domaine si le nom d'utilisateur est déjà ajouté sans domaine. Si le nom d'utilisateur avec domaine est ajouté d'abord suivi du même nom d'utilisateur sans domaine, l'appliance Citrix ADC ajoute le nom d'utilisateur à la liste des utilisateurs.
L'exemple suivant montre comment ajouter un nom d'utilisateur avec un domaine n'est pas autorisé si le même nom d'utilisateur est ajouté sans domaine.
<!--NeedCopy-->
add aaa user u47985 Done show aaa users 1) UserName: u47985 Done add aaa user u47985@domain.com ERROR: User already exists ```
L’exemple suivant montre si le nom d’utilisateur avec domaine est ajouté en premier, suivi du même nom d’utilisateur sans domaine, puis l’appliance Citrix ADC ajoute le nom d’utilisateur à la liste des utilisateurs.
> add aaa user u47985@domain.com
Done
> add aaa user u47985
Done
> sh aaa user
1) UserName: u47985@domain.com
2) UserName: u47985
```