Documentation Produit
Gateway
Current Release 13.1 13.0 12.1
Voir PDF

Scan EPA pour les adresses MAC

March 27, 2024
Contributeur: 
C

À partir de la version 13.0-88.x de Citrix ADC, vous pouvez configurer les configurations de scan EPA pour les adresses MAC autorisées ou spécifiques. Citrix ADC utilise des expressions de stratégie et des ensembles de modèles pour spécifier la liste des adresses MAC.

Avant la version 13.0-88.x de Citrix ADC, la liste de toutes les adresses MAC autorisées devait être spécifiée dans le cadre d’une expression EPA. Si les clients disposaient d’une longue liste d’adresses MAC autorisées, il était fastidieux d’ajouter toutes les adresses MAC en une seule expression. En outre, le nombre d’adresses MAC à ajouter dans une seule expression était limité.

Par exemple,

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

Configurez le scan EPA pour les adresses MAC à l’aide de l’interface graphique

L’option Adresses MAC (expression) qui était auparavant disponible dans la catégorie de scan Windows est désormais disponible dans la catégorie de scan commun de l’interface graphique Citrix ADC. Cette option permet aux utilisateurs de configurer un scan EPA pour une liste d’adresses MAC autorisées ou spécifiques.

Remarque :

Le client Citrix Secure Access 22.10.1 et les versions ultérieures prennent en charge cette méthode de gestion par Citrix ADC des configurations de scan EPA sur l’interface graphique.

L'EPA scanne les scans courants

  1. Configurez un jeu de motifs. Pour plus de détails, voir Configuration d’un jeu de modèles.

  2. Créez une expression de stratégie correspondante pour chaque jeu de modèles.

    Lors de la configuration de l’expression, dans l’éditeur d’expression, sélectionnez AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY (chaîne) > Jeu de motifs.

    Pour plus d’informations sur la configuration d’une expression avancée, consultez la section Configurer des expressions de stratégie avancées dans une stratégie.

  3. Créez une analyse EPA pour l’expression configurée dans les étapes précédentes. Pour plus de détails, voir Analyses avancées des points de terminaison.

Configurez le scan EPA pour les adresses MAC à l’aide de l’interface de ligne de commande

  1. Stockez les adresses MAC dans des ensembles de modèles.

    À l’invite de commande, tapez ;

    add policy patset <name> [-comment <string>]
<!--NeedCopy-->

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```

  2. Créez une expression de stratégie correspondante pour chaque jeu de modèles en utilisant AAA.Login.Client_Mac_Addr.equals_any ()

    À l’invite de commande, tapez ;

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]

    Exemple:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")

  3. Créer des scans EPA à l’aide des expressions de stratégie configurées

    À l’invite de commande, tapez ;

    add authentication epaAction <name>  -csecexpr <expression>

    Exemple:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/

    Configurez une stratégie de pré-authentification,

    add authentication Policy epapol -rule true -action epa

    Liez la stratégie de préauthentification,

    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT

Points à noter

  • La configuration d’une analyse EPA pour une liste autorisée d’adresses MAC ne s’applique qu’aux flux d’authentification nFactor.
  • Il est recommandé de ne pas stocker plus de 3 000 entrées dans un ensemble de modèles.
  • Les adresses MAC doivent être configurées au format 1A-2B-3C-4D-5E-6F.
  • Le format de l’analyse EPA est mac-addr_0_<policy-expression-name>. Dans ce format, mac-addr_0_ est une valeur statique et vous devez entrer le nom de l’expression de stratégie après mac-addr_0_.
  • Les scans de l’EPA peuvent être séparés de manière appropriée à l’aide des symboles ( ||, &&).
  • Pour ajouter de nombreuses adresses MAC à un jeu de modèles, vous pouvez utiliser l’importation de jeux de modèles basés sur des fichiers. Il est recommandé de stocker un maximum de 3000 entrées/jeu de motifs pour des performances optimales.
  • Si des adresses MAC sont présentes dans un fichier, vous pouvez créer un jeu de modèles en utilisant l’importation de jeux de modèles basés sur des fichiers et en spécifiant le délimiteur approprié lors de l’importation.

Références

Scan EPA pour les adresses MAC
March 27, 2024
Contributeur: 
C
March 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.