Utilisateurs et groupes
Après avoir configuré la configuration de base de l’authentification, de l’autorisation et de l’audit, vous créez des utilisateurs et des groupes. Vous créez d’abord un compte utilisateur pour chaque personne qui s’authentifie via l’appliance NetScaler. Si vous utilisez l’authentification locale contrôlée par l’appliance NetScaler elle-même, vous créez des comptes d’utilisateurs locaux et attribuez des mots de passe à chacun de ces comptes.
Vous créez également des comptes utilisateur sur l’appliance NetScaler si vous utilisez un serveur d’authentification externe. Dans ce cas, toutefois, chaque compte utilisateur doit correspondre exactement au compte de cet utilisateur sur le serveur d’authentification externe, et vous n’attribuez pas de mot de passe aux comptes utilisateur que vous créez sur NetScaler. Le serveur d’authentification externe gère les mots de passe des utilisateurs qui s’authentifient auprès du serveur d’authentification externe.
Si vous utilisez un serveur d’authentification externe, vous pouvez toujours créer des comptes utilisateurs locaux sur l’appliance NetScaler si, par exemple, vous souhaitez autoriser des utilisateurs temporaires (tels que des visiteurs) à se connecter sans créer d’entrées pour ces utilisateurs sur le serveur d’authentification. Vous attribuez un mot de passe à chaque compte utilisateur local, comme vous le feriez si vous utilisiez l’authentification locale pour tous les comptes utilisateur.
Chaque compte utilisateur doit être lié à des politiques d’authentification et d’autorisation. Pour simplifier cette tâche, vous pouvez créer un ou plusieurs groupes et leur attribuer des comptes utilisateurs. Vous pouvez ensuite lier les politiques à des groupes plutôt qu’à des comptes d’utilisateurs individuels.
Configurer des politiques avec des groupes
Après avoir configuré les groupes, vous pouvez utiliser la boîte de dialogue Groupe pour appliquer des politiques et des paramètres qui spécifient l’accès des utilisateurs. Si vous utilisez l’authentification locale, vous créez des utilisateurs et vous les ajoutez à des groupes configurés sur NetScaler Gateway. Les utilisateurs héritent ensuite des paramètres de ce groupe.
Vous pouvez configurer les politiques ou paramètres suivants pour un groupe d’utilisateurs dans la boîte de dialogue Groupe :
- Utilisateurs
- Stratégies d’autorisation
- Stratégies d’audit
- Stratégies de session
- Politiques de trafic
- Signets
- Applications Intranet
- Adresses IP Intranet
Dans votre configuration, certains utilisateurs peuvent appartenir à plusieurs groupes. En outre, chaque groupe peut avoir une ou plusieurs stratégies de session liées, avec différents paramètres configurés. Les utilisateurs appartenant à plusieurs groupes héritent des stratégies de session attribuées à tous les groupes auxquels ils appartiennent. Pour vous assurer que l’évaluation de la stratégie de session est prioritaire sur l’autre, vous devez définir la priorité de la stratégie de session.
Par exemple, le groupe1 est lié à une stratégie de session configurée avec la page d’accueil www.homepage1.com. Group2 est lié à une stratégie de session configurée avec la page d’accueil www.homepage2.com. Lorsque ces stratégies sont liées à des groupes respectifs sans numéro de priorité ou avec le même numéro de priorité, la page d’accueil qui apparaît aux utilisateurs appartenant aux deux groupes dépend de la stratégie traitée en premier. En définissant un numéro de priorité inférieur, qui donne une priorité plus élevée, pour la stratégie de session avec la page d’accueil www.homepage1.com, vous pouvez vous assurer que les utilisateurs appartenant aux deux groupes reçoivent la page d’accueil www.homepage1.com.
Si aucun numéro de priorité n’est attribué aux stratégies de session ou n’ont pas le même numéro de priorité, la priorité est évaluée dans l’ordre suivant :
- Utilisateur
- Groupe
- Serveur virtuel
- Global
Si les stratégies sont liées au même niveau, sans numéro de priorité ou si les stratégies ont le même numéro de priorité, l’ordre d’évaluation est celui de l’ordre de liaison des stratégies. Les stratégies qui sont liées en premier à un niveau sont prioritaires par rapport aux stratégies liées ultérieurement.
Si nous avons un utilisateur lié à plusieurs groupes avec chaque groupe lié à l’IIP, l’utilisateur peut obtenir une adresse IP gratuite de n’importe quel groupe lié.
Création d’utilisateurs et de groupes
Configuration de l’authentification, de l’autorisation et de l’audit des utilisateurs locaux à l’aide de l’interface graphique
- Accédez àSécurité > AAA - Trafic applicatif > Utilisateurs** depuis NetScaler Gateway, développezNetScaler Gateway > Administration des utilisateurs, puis cliquez sur Utilisateurs AAA.**
-
Dans le volet d’informations, effectuez l’une des opérations suivantes :
- Pour créer un nouveau compte utilisateur, cliquez sur Ajouter.
- Pour modifier un compte utilisateur existant, sélectionnez le compte utilisateur, puis cliquez sur Ouvrir.
- Dans la boîte de dialogue Créer un utilisateur AAA, dans la zone de texte Nom d’utilisateur, tapez le nom de l’utilisateur.
- Si vous créez un compte utilisateur authentifié localement, désactivez la case Authentification externe et fournissez un mot de passe local que l’utilisateur utilise pour se connecter.
- Cliquez sur Créer ou sur OK, puis sur Fermer. Un message s’affiche dans la barre d’état, indiquant que l’utilisateur a été correctement configuré.
Configurez l’authentification, l’autorisation et l’audit des groupes locaux et ajoutez-y des utilisateurs à l’aide de l’utilitaire de configuration
- Accédez àSécurité > AAA - Trafic d’applications > Groupes** depuis NetScaler Gateway, développezNetScaler Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA.**
- Dans le volet d’informations, effectuez l’une des opérations suivantes :
- Pour créer un nouveau groupe, cliquez sur Ajouter.
- Pour modifier un groupe existant, sélectionnez le groupe, puis cliquez sur Modifier.
- Si vous créez un nouveau groupe, dans la boîte de dialogue Créer un groupe AAA, dans la zone de texte Nom du groupe, tapez le nom du groupe.
-
Dans la zone avancée à droite, cliquez sur Utilisateurs AAA.
- Pour ajouter un utilisateur au groupe, sélectionnez-le, puis cliquez sur Ajouter.
- Pour supprimer un utilisateur du groupe, sélectionnez-le, puis cliquez sur Supprimer.
- Pour créer un nouveau compte utilisateur et l’ajouter au groupe, cliquez sur l’icône Plus, puis suivez les instructions de la section « Pour configurer l’authentification, l’autorisation et l’audit des utilisateurs locaux à l’aide de l’utilitaire de configuration ». «
- Cliquez sur Créer ou sur OK. Le groupe que vous avez créé apparaît sur la page AAA Groups .
Supprimer un groupe à l’aide de l’interface graphique
Vous pouvez également supprimer des groupes d’utilisateurs de NetScaler Gateway.
- Accédez àSécurité > AAA - Trafic d’applications > Groupes** depuis NetScaler Gateway, ExpandCitrixGateway > Administration des utilisateurs,puis cliquez sur Groupes AAA.** Dans le volet d’informations, sélectionnez le groupe, puis cliquez sur Supprimer.
Configurer l’authentification, l’autorisation et l’audit des utilisateurs locaux à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes :
add aaa group <groupname>
bind aaa group <groupname> -username <username>
<!--NeedCopy-->
Exemple :
add aaa group group-2
bind aaa group group-2 -username user-2
<!--NeedCopy-->
Supprimer des utilisateurs d’un groupe d’authentification, d’autorisation et d’audit à l’aide de l’interface de ligne de commande
À l’invite de commandes, dissociez les utilisateurs du groupe en saisissant la commande suivante une fois pour chaque compte utilisateur lié au groupe :
unbind aaa group <groupname> -username <username><!--NeedCopy-->
**Exemple :**
<!--NeedCopy-->
unbind aaa group group-hr -username user-hr-1
### Supprimer un groupe d'authentification, d'autorisation et d'audit à l'aide de l'interface de ligne de commande
Supprimez d'abord tous les utilisateurs du groupe. Ensuite, à l'invite de commandes, tapez la commande suivante pour supprimer un groupe NetScaler AAA et vérifier la configuration :
<!--NeedCopy-->
rm aaa group
**Exemple :**
<!--NeedCopy-->
rm aaa group group-hr
> **Remarque**
>
>Vous ne pouvez pas ajouter de nom d'utilisateur avec un domaine si le nom d'utilisateur est déjà ajouté sans domaine. Si le nom d'utilisateur avec domaine est ajouté en premier, suivi du même nom d'utilisateur sans domaine, l'appliance NetScaler ajoute le nom d'utilisateur à la liste des utilisateurs.
L'exemple suivant montre comment ajouter un nom d'utilisateur avec un domaine n'est pas autorisé si le même nom d'utilisateur est ajouté sans domaine.
<!--NeedCopy-->
add aaa user u47985 Done show aaa users 1) UserName: u47985 Done add aaa user u47985@domain.com ERROR: User already exists ```
L’exemple suivant montre si le nom d’utilisateur avec domaine est ajouté en premier, suivi du même nom d’utilisateur sans domaine, l’appliance NetScaler ajoute le nom d’utilisateur à la liste des utilisateurs.
> add aaa user u47985@domain.com
Done
> add aaa user u47985
Done
> sh aaa user
1) UserName: u47985@domain.com
2) UserName: u47985
```