Configurer les groupes
Dans NetScaler ADM, un groupe peut disposer d’un accès au niveau des fonctionnalités et au niveau des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement à certaines instances NetScaler, un autre groupe ne disposant que de quelques applications sélectionnées, etc.
Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. Tous les utilisateurs de ce groupe se voient attribuer les mêmes droits d’accès dans NetScaler ADM.
Vous pouvez gérer l’accès d’un utilisateur dans NetScaler ADM au niveau individuel des entités fonctionnelles du réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.
NetScaler ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs comme des entités fonctionnelles du réseau.
-
Serveur virtuel (applications) : équilibrage de charge (lb), GSLB, commutation de contexte (CS), redirection du cache (CR), authentification (
Auth
) et NetScaler Gateway (VPN) - Services - Équilibrage de charge et services GSLB
- Groupe de services : équilibrage de charge et groupes de services GSLB
- Serveurs - Serveurs d’équilibrage de charge
Créer un groupe d’utilisateurs
-
Dans NetScaler ADM, accédez à Paramètres > Utilisateurs et rôlesGroupes.
-
Cliquez sur Ajouter.
La page Créer un groupe de systèmes s’affiche.
-
Dans le champ Nom du groupe, entrez le nom du groupe. La longueur maximale autorisée est de 64 caractères.
-
Dans le champ Description du groupe, saisissez une description de votre groupe. Fournir une bonne description du groupe vous aide à mieux comprendre le rôle et la fonction du groupe ultérieurement.
-
Dans la section Rôles, ajoutez ou déplacez un ou plusieurs rôles dans la liste Configuré.
Remarque :
Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles. Vous pouvez également accéder à Paramètres > Utilisateurs et rôles > Utilisateurs et créer ou modifier des utilisateurs.
-
Sélectionnez Configurer le délai d’expiration de la session utilisateur pour configurer la période pendant laquelle un utilisateur doit rester actif.
Lorsque cette option est activée, spécifiez les paramètres suivants :
- Délai d’expiration de la session : entrez la durée pendant laquelle une session utilisateur doit rester active. La valeur par défaut est 15.
- Unité de délai d’expiration de session : sélectionnez l’unité de délai d’expiration dans la liste, en minutes ou en heures. La valeur par défaut est en minutes.
-
Dans le champ Limite de session utilisateur, entrez le nombre maximum de sessions autorisées par utilisateur.
Remarque :
Vous pouvez configurer jusqu’à 40 sessions utilisateur. Par défaut, 20 sessions utilisateur vous sont attribuées. Toutefois, si vous appartenez aux groupes d’administrateurs et d’utilisateurs en lecture seule, 40 sessions utilisateur vous sont attribuées par défaut et cette valeur ne peut pas être modifiée.
-
Cliquez sur Suivant. Dans l’onglet Paramètres d’autorisation, vous pouvez définir les paramètres d’autorisation pour les ressources suivantes :
- Groupes de mise à l’échelle automatique
- Instances
- Applications
- Modèles de configuration
- StyleBooks
- Packs de configuration
- Noms de domaine
Vous pouvez sélectionner des ressources spécifiques parmi les catégories auxquelles les utilisateurs peuvent accéder.
Groupes de mise à l’échelle automatique :
Si vous souhaitez sélectionner les groupes Autoscale spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les étapes suivantes :
-
Décochez la case Tous les groupes AutoScale et cliquez sur Ajouter des groupes AutoScale.
-
Sélectionnez les groupes Autoscale requis dans la liste et cliquez sur OK.
Instances :
Si vous souhaitez sélectionner les instances spécifiques qu’un utilisateur peut consulter ou gérer, effectuez les étapes suivantes :
-
Décochez la case Toutes les instances et cliquez sur Sélectionner les instances.
-
Sélectionnez les instances requises dans la liste et cliquez sur OK.
Applications :
La liste Choisir les applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.
Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Lorsque vous accordez à un utilisateur l’accès à une application, l’utilisateur est autorisé à accéder uniquement à cette application, quelle que soit la sélection de l’instance.
Les options suivantes sont disponibles :
-
Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans NetScaler ADM.
-
Toutes les applications des instances sélectionnées : cette option s’affiche uniquement si vous sélectionnez des instances dans la catégorie Toutes les instances . Il ajoute toutes les applications présentes sur l’instance sélectionnée.
-
Applications spécifiques : Cette option vous permet d’ajouter les applications requises auxquelles vous souhaitez que les utilisateurs puissent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.
-
Sélectionner un type d’entité individuel : Cette option vous permet de sélectionner un type spécifique d’entité fonctionnelle réseau et les entités correspondantes.
Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.
L’option Appliquer aux entités liées autorise également les entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez Appliquer également aux entités liées, NetScaler ADM autorise toutes les entités liées à l’application sélectionnée.
Remarque :
Pour autoriser les entités liées, sélectionnez un seul type d’entité.
Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères d’expression régulière des groupes. L’expression regex spécifiée est conservée dans NetScaler ADM. Pour ajouter une expression régulière, procédez comme suit :
-
Cliquez sur Ajouter une expression régulière.
-
Spécifiez l’expression régulière dans la zone de texte.
L’image suivante explique comment utiliser une expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques :
L’image suivante explique comment utiliser l’expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuelle :
Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône + .
Remarque :
L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Servers et non à l’adresse IP du serveur.
Si vous sélectionnez l’option Appliquer également aux entités liées pour une entité découverte, un utilisateur peut accéder automatiquement aux entités liées à l’entité découverte.
L’expression régulière est stockée dans le système pour mettre à jour la portée de l’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, NetScaler ADM met à jour l’étendue d’autorisation pour les nouvelles entités.
Modèles de configuration :
Si vous souhaitez sélectionner le modèle de configuration spécifique qu’un utilisateur peut consulter ou gérer, effectuez les étapes suivantes :
-
Décochez la case Tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration.
-
Sélectionnez le modèle requis dans la liste et cliquez sur OK.
StyleBooks:
Si vous souhaitez sélectionner le StyleBook spécifique qu’un utilisateur peut consulter ou gérer, effectuez les opérations suivantes :
-
Décochez la case Tous les StyleBooks et cliquez sur Ajouter StyleBookau groupe. Vous pouvez sélectionner des StyleBooks individuels ou spécifier une requête de filtre pour autoriser les StyleBooks.
Si vous souhaitez sélectionner les StyleBooks individuels, sélectionnez les StyleBooks dans le volet StyleBooks individuels et cliquez sur Enregistrer la sélection.
Si vous souhaitez utiliser une requête pour rechercher dans StyleBooks, sélectionnez le volet Filtres personnalisés . Une requête est une chaîne de paires clé-valeur où les clés sont
name
,namespace
etversion
.Vous pouvez également utiliser des expressions régulières comme valeurs pour rechercher et ajouter des StyleBooks répondant aux critères de regex pour les groupes. Une requête de filtre personnalisée pour rechercher StyleBooks prend en charge les opérateurs
And
etOr
.Exemple :
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->
Cette requête répertorie les StyleBooks qui remplissent les conditions suivantes :
- Le nom de StyleBook est
lb-mon
oulb
. - L’espace de noms StyleBook est
com.citrix.adc.stylebooks
. - La version StyleBook est
1.0
.
Utilisez un opérateur
Or
entre des expressions de valeur définie à l’expression clé.Exemple :
- La requête
name=lb-mon|lb
est valide. Il renvoie les StyleBooks ayant un nomlb-mon
oulb
. - La requête
name=lb-mon | version=1.0
n’est pas valide.
Appuyez sur
Enter
pour afficher les résultats de la recherche et cliquez sur Enregistrer la requête.La requête enregistrée apparaît dans la requête Filtres personnalisés. En fonction de la requête enregistrée, l’ADM fournit aux utilisateurs l’accès à ces livres StyleBooks.
- Le nom de StyleBook est
-
Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.
Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés.
Packs de configuration :
Dans les packs de configuration , sélectionnez l’une des options suivantes :
-
Toutes les configurations : cette option est sélectionnée par défaut. Il permet aux utilisateurs de gérer toutes les configurations présentes dans ADM.
-
Toutes les configurations des StyleBooks sélectionnés : cette option ajoute tous les packs de configuration du StyleBook sélectionné.
-
Configurations spécifiques : cette option vous permet d’ajouter des configurations spécifiques à n’importe quel StyleBook.
-
Toutes les configurations créées par le groupe d’utilisateurs : cette option permet aux utilisateurs d’accéder uniquement aux configurations créées par les utilisateurs du même groupe.
Vous pouvez sélectionner les packs de configuration applicables lorsque vous créez des groupes et que vous attribuez des utilisateurs à ce groupe.
Noms de domaine :
Si vous souhaitez sélectionner le nom de domaine spécifique qu’un utilisateur peut consulter ou gérer, procédez comme suit :
-
Décochez la case Tous les noms de domaine et cliquez sur Ajouter un nom de domaine.
-
Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.
-
Cliquez sur Créer un groupe.
-
Dans la section Affecter des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez-le à la liste des utilisateurs configurés .
Remarque :
Vous pouvez également ajouter des utilisateurs en cliquant sur Nouveau.
-
Cliquez sur Terminer.
Gérer l’accès utilisateur sur plusieurs entités de fonction réseau
En tant qu’administrateur, vous pouvez gérer l’accès des utilisateurs au niveau individuel des entités fonctionnelles du réseau dans NetScaler ADM. De plus, vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou à un groupe au niveau de l’entité à l’aide du filtre d’expression régulière.
Ce document explique comment définir l’autorisation utilisateur au niveau de l’entité.
Avant de commencer, créez un groupe. Reportez-vous à la section Configurer des groupes sur NetScaler ADM pour plus d’informations.
Scénario d’utilisation :
Imaginons un scénario dans lequel une ou plusieurs applications (serveurs virtuels) sont hébergées sur le même serveur. Un super administrateur (George) souhaite accorder à Steve (un administrateur d’applications) l’accès uniquement à App1 et non au serveur d’hébergement.
Le tableau suivant illustre cet environnement, dans lequel Server-A héberge les applications App-1 et App-2.
Serveur hôte | Application (serveur virtuel) | Service | Groupe de services |
---|---|---|---|
Serveur A | App1 | App-service-1 | App-service-group-1 |
Serveur A | App2 | App-service-2 | App-service-group-2 |
Remarque
NetScaler ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs comme des entités fonctionnelles du réseau. Le serveur virtuel de type d’entité est appelé une application.
Pour attribuer des autorisations utilisateur à des entités fonctionnelles du réseau, George définit les autorisations utilisateur comme suit :
-
Accédez à Compte > Administration des utilisateurs > Groupes et ajoutez un groupe.
-
Dans l’onglet Paramètres d’autorisation, sélectionnez Choisir les applications.
-
Choisissez Sélectionner un type d’entité individuel.
-
Sélectionnez le type d’entité Toutes les applications et ajoutez l’entité App-1 dans la liste disponible.
-
Cliquez sur Créer un groupe.
-
Dans Attribuer des utilisateurs, sélectionnez les utilisateurs qui ont besoin de l’autorisation. Pour ce scénario, George sélectionne le profil utilisateur de Steve.
-
Cliquez sur Terminer.
Avec ce paramètre d’autorisation, Steve ne peut gérer que l’App-1 et aucune autre entité fonctionnelle réseau.
Remarque :
Assurez-vous que l’option Appliquer également aux entités liées est désactivée. Dans le cas contraire, NetScaler ADM autorise l’accès à toutes les entités de fonction réseau liées à App-1. En conséquence, accorde également l’accès au serveur d’hébergement.
Un super administrateur peut spécifier les expressions régulières (regex) pour chaque type d’entité. L’expression régulière est stockée dans le système pour mettre à jour l’étendue d’autorisation utilisateur. Lorsque de nouvelles entités correspondent à l’expression régulière de leur type d’entité, NetScaler ADM peut accorder de manière dynamique aux utilisateurs l’accès aux entités de fonction réseau spécifiques.
Pour accorder des autorisations utilisateur de manière dynamique, le super administrateur peut ajouter des expressions régulières dans l’onglet Paramètres d’autorisation.
Dans ce scénario, George ajoute App*
en tant qu’expression régulière pour le type d’entité Applications et les applications qui correspondent aux critères d’expression régulière apparaissent dans la liste. Avec ce paramètre d’autorisation, Steve peut accéder à toutes les applications qui correspondent à l’expression régulière App*
. Toutefois, son accès est limité uniquement aux applications et non au serveur hébergé.
Comment l’accès utilisateur change en fonction de la portée d’autorisation
Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.
Dans ce cas, l’ADM accorde à l’utilisateur l’accès aux applications en fonction de l’étendue d’autorisation spécifique.
Considérez un utilisateur qui est affecté à un groupe doté de deux stratégies Stratégie-1 et Stratégie-2.
-
Policy-1 — Affiche uniquement les autorisations pour les applications.
-
Policy-2 — Afficher et modifier l’autorisation des applications.
L’utilisateur peut consulter les applications spécifiées dans Policy-1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.
Mappage du RBAC lors de la mise à niveau de NetScaler ADM de la version 12.0 vers les versions ultérieures
Lorsque vous effectuez la mise à niveau de NetScaler ADM de la version 12.0 vers la version 13.1, les options permettant de fournir des autorisations de « lecture-écriture » ou de « lecture » ne s’affichent pas lors de la création de groupes. Ces autorisations sont remplacées par des « rôles et stratégies d’accès », ce qui vous donne plus de flexibilité pour fournir des autorisations basées sur les rôles aux utilisateurs. Le tableau suivant montre comment les autorisations de la version 12.0 sont mappées à la version 13.1 :
12.0 | Autoriser les applications uniquement | 13.1 |
---|---|---|
admin read-write | False | admin |
admin read-write | True | appAdmin |
admin read-only | False | readonly |
admin read-only | True | appReadonly |