Gateway

Stratégies et profils de pré-authentification

Important :

Endpoint Analysis vise à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’applique ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.

Vous pouvez configurer Citrix Gateway pour vérifier les appareils d’un utilisateur avant qu’ils ne soient authentifiés auprès de Citrix Gateway. Cela peut être utilisé pour restreindre l’accès si l’appareil de l’utilisateur ne répond pas aux exigences de votre organisation. Les vérifications des appareils peuvent être mises en œuvre à l’aide de stratégies individuelles spécifiques à un serveur virtuel ou globalement, comme décrit dans les deux procédures suivantes.

Les stratégies de pré-authentification se composent d’un profil et d’une expression. Vous configurez le profil pour utiliser une expression permettant d’autoriser ou de refuser l’exécution d’un processus sur la machine utilisateur. Par exemple, le fichier texte, clienttext.txt, s’exécute sur l’appareil de l’utilisateur. Lorsque l’utilisateur ouvre une session sur Citrix Gateway, vous pouvez autoriser ou refuser l’accès selon que le fichier texte est en cours d’exécution. Si vous ne souhaitez pas autoriser les utilisateurs à se connecter lorsque le processus est en cours d’exécution, vous pouvez configurer un profil de pré-authentification pour arrêter le processus avant que les utilisateurs ne se connectent.

Vous pouvez configurer les paramètres suivants pour les stratégies de pré-authentification :

  • Expression. Inclut les paramètres suivants pour vous aider à créer des expressions :
    • Expression. Affiche toutes les expressions.
    • Correspond à n’importe quelle expression. Configure la stratégie pour qu’elle corresponde à toutes les expressions présentes dans la liste des expressions sélectionnées.
    • Correspond à toutes les expressions. Configure la stratégie pour qu’elle corresponde à toutes les expressions présentes dans la liste des expressions sélectionnées.
    • Expressions tabulaires. Crée une expression composée avec les expressions existantes à l’aide des OR (||) or AND (&&) opérateurs.
    • Forme libre avancée. Crée des expressions composées personnalisées à l’aide des noms d’expression et des OR (||) and AND (&&) opérateurs. Choisissez uniquement les expressions dont vous avez besoin et omettez les autres expressions de la liste des expressions sélectionnées.
    • Add. Crée une expression.
    • Modifier. Modifie une expression existante.
    • Remove. Supprime l’expression sélectionnée de la liste des expressions composées.
    • Expressions nommées. Sélectionnez une expression nommée configurée. Vous pouvez sélectionner des expressions nommées dans le menu des expressions déjà présentes sur Citrix Gateway.
    • Ajoutez une expression. Ajoute l’expression nommée sélectionnée à la stratégie.
    • Remplacer l’expression. Remplace l’expression nommée sélectionnée par la stratégie.
    • Expression d’aperçu. Affiche la chaîne détaillée configurée sur Citrix Gateway lorsque vous sélectionnez une expression nommée.

Configuration du profil de pré-authentification

Pour configurer globalement un profil de pré-authentification à l’aide de l’interface graphique

  1. Dans l’onglet Configuration, cliquez sur Citrix Gateway, puis sur Paramètres généraux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de pré-authentification.
  3. Dans la boîte de dialogue Paramètres de pré-authentification globale, configurez les paramètres :
    1. Dans Action, sélectionnez Autoriser ou Refuser.

      Refend ou autorise les utilisateurs à ouvrir une session après l’analyse des points de terminaison.

    2. Dans Processus à annuler, entrez le processus.

      Ceci spécifie les processus que le plug-in Endpoint Analysis doit arrêter.

    3. Dans Fichiers à supprimer, entrez le nom du fichier.

      Ceci spécifie les fichiers que le plug-in Endpoint Analysis doit supprimer. Lorsque vous supprimez ou annulez un processus, une notification s’affiche pour les utilisateurs finaux.

      Processus supprimé

  4. Dans Expression, vous pouvez laisser l’expression ns_true ou créer une expression pour une application spécifique, telle qu’un antivirus ou un logiciel de sécurité, puis cliquer sur OK.

Pour configurer un profil de pré-authentification à l’aide de l’interface graphique

  1. Accédez à Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-Authentication EPA.
  2. Dans le volet d’informations, dans l’onglet Profils, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de l’application à vérifier.
  4. Dans Action, sélectionnez AUTORISER ou REFUSER.
  5. Dans Processus à annuler, saisissez le nom du processus à arrêter.
  6. Dans Fichiers à supprimer, tapez le nom du fichier à supprimer, par exemple c:\clientext.txt, cliquez sur Créer, puis cliquez sur Fermer.

    Ceci spécifie les fichiers que le plug-in Endpoint Analysis doit supprimer. Lorsque vous supprimez ou annulez un processus, une notification s’affiche pour les utilisateurs finaux.

    Processus supprimé

Si vous utilisez l’interface graphique pour configurer un profil de préauthentification, vous créez ensuite la stratégie de préauthentification en cliquant sur Ajouter dans l’onglet Stratégies. Dans la boîte de dialogue Créer une stratégie de pré-authentification, sélectionnez le profil dans le menu Demander un profil.

Ajouter une expression préconfigurée à une stratégie de pré-authentification

Citrix Gateway est fourni avec des expressions préconfigurées, appelées expressions nommées. Lorsque vous configurez une stratégie, vous pouvez utiliser une expression nommée pour la stratégie. Par exemple, vous souhaitez que la stratégie de pré-authentification vérifie la présence de Symantec antivirus 10 avec des définitions de virus mises à jour. Créez une stratégie de pré-authentification et ajoutez l’expression comme décrit dans la procédure suivante.

Lorsque vous créez une stratégie de pré-authentification ou de session, vous pouvez créer l’expression lorsque vous créez la stratégie. Vous pouvez ensuite appliquer la stratégie, avec l’expression, aux serveurs virtuels ou globalement.

La procédure suivante explique comment ajouter une expression antivirus préconfigurée à une stratégie à l’aide de l’utilitaire de configuration.

Ajouter une expression nommée à une stratégie de pré-authentification

  1. Accédez à Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-Authentication EPA.
  2. Dans le volet d’informations, sélectionnez une politique, puis cliquez sur Ouvrir.
  3. En regard de Expressions nommées, sélectionnez Antivirus, puis sélectionnez le produit antivirus dans la liste.
  4. Cliquez sur Ajouter une expression, cliquez sur Créer, puis cliquez sur Fermer.

Configurer les expressions personnalisées

Une expression personnalisée est une expression que vous créez dans la stratégie. Lorsque vous créez une expression, vous configurez les paramètres de l’expression.

Vous pouvez également créer des expressions personnalisées pour faire référence à des chaînes couramment utilisées. Cela facilite le processus de configuration des stratégies de pré-authentification et de maintenance des expressions configurées.

Par exemple, vous souhaitez créer une expression personnalisée pour Symantec antivirus 10 et vous assurer que les définitions de virus ne datent pas de plus de trois jours. Créez une stratégie, puis configurez l’expression pour spécifier les définitions de virus.

La procédure suivante montre comment créer une expression dans une stratégie de préauthentification. Vous pouvez suivre les mêmes étapes dans une stratégie de session.

Création d’une stratégie de préauthentification et d’une expression personnalisée

  1. Accédez à Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-AuthenticationEPA.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la politique.
  4. À côté de Demander un profil, cliquez sur Nouveau.
  5. Dans la boîte de dialogue Créer un profil d’authentification, dans Nom, tapez un nom pour le profil et dans Action, sélectionnez Autoriser, puis cliquez sur Créer.
  6. Dans la boîte de dialogue Créer une politique de pré-authentification, à côté de Faire correspondre n’importe quelle expression, cliquez sur Ajouter.
  7. Dans Type d’expression, sélectionnez Client Security.
  8. Configurez ce qui suit :
    1. Dans Composant, sélectionnez Antivirus.
    2. Dans Nom, saisissez le nom de l’application.
    3. Dans Qualifier, sélectionnez Version.
    4. Dans Opérateur, sélectionnez ==.
    5. Dans Valeur, saisissez la valeur.
    6. Dans Fraîcheur, tapez 3, puis cliquez sur OK.
  9. Dans la boîte de dialogue Créer une stratégie de pré-authentification, cliquez sur Créer, puis sur Fermer.

Lorsque vous configurez une expression personnalisée, elle est ajoutée à la zone Expression de la boîte de dialogue de stratégie.

Configuration des expressions composées

Une stratégie de pré-authentification peut comporter un profil et plusieurs expressions. Si vous configurez des expressions composées, vous utilisez des opérateurs pour spécifier les conditions de l’expression. Par exemple, vous pouvez configurer des expressions composées pour que la machine utilisateur exécute l’une des applications antivirus suivantes :

  • Symantec Antivirus 10
  • McAfee Antivirus 11
  • Sophos Antivirus 4

Vous configurez l’expression avec l’opérateur OR pour rechercher les trois applications précédentes. Si Citrix Gateway détecte la version correcte de l’une des applications sur la machine utilisateur, les utilisateurs sont autorisés à ouvrir une session. L’expression de la boîte de dialogue de stratégie apparaît comme suit :

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

Pour plus d’informations sur les expressions composées, consultez la section Configuration des expressions composées.

Lier les stratégies de pré-authentification

Après avoir créé la stratégie de préauthentification, liez-la au niveau auquel elle s’applique. Vous pouvez lier les stratégies de pré-authentification aux serveurs virtuels ou globalement.

Créer et lier une stratégie de pré-authentification à l’échelle mondiale

  1. Dans l’onglet Configuration, cliquez sur Citrix Gateway, puis sur Paramètres généraux.
  2. Dans le volet d’informations, cliquez sur Modifier les paramètres de pré-authentification.
  3. Dans la boîte de dialogue Paramètres globaux de pré-authentification, dans Action, sélectionnez Autoriser ou Refuser.
  4. Dans Nom, tapez le nom de la politique.
  5. Dans la boîte de dialogue Paramètres de pré-authentification globale, en regard de Expressions nommées, sélectionnez Général, sélectionnez Valeur réelle, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.

Liaison d’une stratégie de pré-authentification à un serveur virtuel

  1. Dans l’onglet Configuration, cliquez sur Citrix Gateway, puis sur Serveurs virtuels.
  2. Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.
  3. Dans la boîte de dialogue Configurer Citrix Gateway Virtual Server, cliquez sur l’onglet Stratégies, puis sur Pré-authentification.
  4. Sous Détails, cliquez sur Insérer une stratégie, puis sous Nom de la stratégie, sélectionnez la stratégie de pré-authentification.
  5. Cliquez sur OK.

Délier et supprimer les stratégies de pré-authentification

Vous pouvez supprimer une stratégie de pré-authentification de Citrix Gateway si nécessaire. Avant de supprimer une stratégie de pré-authentification, déconnectez-la du serveur virtuel ou globalement.

Délier une stratégie de pré-authentification globale

  1. Accédez à Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-Authentication EPA.
  2. Dans le volet d’informations, sélectionnez une politique, puis dans Action, cliquez sur Liaisons globales.
  3. Dans la boîte de dialogue Lier/délier les stratégies de pré-authentification à la stratégie globale, sélectionnez une stratégie, cliquez sur Délier la stratégie, puis cliquez sur OK.

Délier une stratégie de pré-authentification à un serveur virtuel

  1. Dans l’onglet Configuration, cliquez sur Citrix Gateway, puis sur Serveurs virtuels.
  2. Dans la boîte de dialogue Configurer le serveur virtuel Citrix Gateway, cliquez sur l’onglet Stratégies, puis sur Préauthentification.
  3. Sélectionnez la politique, puis cliquez sur Dissocier la politique.

Lorsque la stratégie de pré-authentification n’est pas liée, vous pouvez la supprimer de Citrix Gateway.

Supprimer une stratégie de pré-authentification

  1. Accédez à Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-AuthenticationEPA.
  2. dans le volet d’informations, sélectionnez une politique, puis cliquez sur Supprimer.

Définir la priorité des stratégies de pré-authentification

Vous pouvez avoir plusieurs stratégies de pré-authentification liées à différents niveaux. Par exemple, vous avez une stratégie qui vérifie la présence d’une application antivirus spécifique liée au niveau mondial et une stratégie de pare-feu liée au serveur virtuel. Lorsque les utilisateurs ouvrent une session, la stratégie liée au serveur virtuel est appliquée en premier. La stratégie qui s’applique à l’échelle mondiale est appliquée en second lieu.

Vous pouvez modifier l’ordre dans lequel se déroulent les analyses de pré-authentification. Pour que Citrix Gateway applique d’abord la stratégie globale, modifiez le numéro de priorité de la stratégie liée au serveur virtuel, en lui attribuant un numéro de priorité supérieur à celui de la stratégie liée globalement. Par exemple, définissez le numéro de priorité de la stratégie globale sur un et la stratégie de serveur virtuel sur deux. Lorsque les utilisateurs ouvrent une session, Citrix Gateway exécute d’abord l’analyse de stratégie globale et l’analyse de stratégie de serveur virtuel en second lieu.

Modifier la priorité d’une stratégie de pré-authentification

  1. Dans l’onglet Configuration, cliquez sur Citrix Gateway, puis sur Serveurs virtuels.
  2. Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.
  3. Dans l’onglet Politiques, cliquez sur Pré-authentification.
  4. Sous Priorité, tapez le numéro de priorité de la stratégie, puis cliquez sur OK.
Stratégies et profils de pré-authentification