Gateway

Configuration des stratégies d’autorisation

Lorsque vous configurez une stratégie d’autorisation, vous pouvez la définir pour autoriser ou refuser l’accès aux ressources réseau du réseau interne. Par exemple, pour autoriser les utilisateurs à accéder au réseau 10.3.3.0, utilisez l’expression suivante :

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

Les stratégies d’autorisation sont appliquées aux utilisateurs et aux groupes. Une fois qu’un utilisateur est authentifié, NetScaler Gateway effectue une vérification d’autorisation de groupe en obtenant les informations de groupe de l’utilisateur auprès d’un serveur RADIUS, LDAP ou TACACS+. Si les informations de groupe sont disponibles pour l’utilisateur, NetScaler Gateway vérifie les ressources réseau autorisées pour le groupe.

Pour contrôler les ressources auxquelles les utilisateurs peuvent accéder, vous devez créer des stratégies d’autorisation. Si vous n’avez pas besoin de créer des stratégies d’autorisation, vous pouvez configurer l’autorisation globale par défaut.

Si vous créez une expression dans la stratégie d’autorisation qui refuse l’accès à un chemin d’accès au fichier, vous ne pouvez utiliser que le chemin d’accès au sous-répertoire et non le répertoire racine. Par exemple, utilisez fs.path contient “\\dir1\\dir2”” au lieu de fs.path contient “\\rootdir\\dir1\\dir2. Si vous utilisez la deuxième version de cet exemple, la stratégie échoue.

Après avoir configuré la stratégie d’autorisation, vous la liez à un utilisateur ou à un groupe, comme indiqué dans les tâches ci-dessous.

Par défaut, les stratégies d’autorisation sont d’abord validées par rapport aux stratégies que vous liez au serveur virtuel, puis par rapport aux stratégies liées globalement. Si vous liez une stratégie globalement et que vous souhaitez qu’elle soit prioritaire sur une stratégie que vous liez à un utilisateur, un groupe ou un serveur virtuel, vous pouvez modifier le numéro de priorité de la stratégie. Les numéros de priorité commencent à zéro. Un numéro de priorité inférieur donne à la stratégie une priorité plus élevée.

Par exemple, si la stratégie globale a un numéro de priorité et que l’utilisateur a une priorité de deux, la stratégie d’authentification globale est appliquée en premier.

Important :

  • Les stratégies d’autorisation classiques sont appliquées uniquement au trafic TCP.
  • La stratégie d’autorisation avancée peut être appliquée à tous les types de trafic (TCP/UDP/ICMP/DNS).

    • To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

    • While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
    • The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

Pour plus d’informations sur les stratégies d’autorisation avancées, consultez l’article https://support.citrix.com/article/CTX232237.

Exemples d’expressions de stratégie d’autorisation

Voici des exemples d’expressions de stratégies d’autorisation :

  • add authorization policy athzPol1 "HTTP.REQ.USER.IS_MEMBER_OF(\"allowedGroup\")" ALLOW

  • add authorization policy athzPol2 "CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20)" DENY

  • add authorization policy athzPol3 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25)" ALLOW

Pour configurer une stratégie d’autorisation à l’aide de l’interface graphique

  1. Accédez à NetScaler Gateway > Stratégies > Autorisation.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la politique.
  4. Dans Action, sélectionnez Autoriser ou Refuser.
  5. Dans Expression, cliquez sur Expression Editor.
  6. Pour commencer à configurer l’expression, cliquez sur Sélectionner et choisissez les éléments nécessaires.
  7. Cliquez sur Terminé lorsque votre expression est terminée.
  8. Cliquez sur Créer.

Pour lier une stratégie d’autorisation à un utilisateur à l’aide de l’interface graphique

  1. Accédez à NetScaler Gateway > Administration des utilisateurs.
  2. Cliquez sur Utilisateurs AAA.
  3. Dans le volet d’informations, sélectionnez un utilisateur, puis cliquez sur Modifier.
  4. Dans les paramètres avancés, cliquez sur Stratégies d’autorisation.
  5. Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
  6. Dans Priorité, définissez le numéro de priorité.
  7. Dans Type, sélectionnez le type de demande, puis cliquez sur OK.

Pour lier une stratégie d’autorisation à un groupe à l’aide de l’interface graphique

  1. Accédez à NetScaler Gateway> Administration des utilisateurs.
  2. Cliquez sur AAA Groups.
  3. Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Modifier.
  4. Dans les paramètres avancés, cliquez sur Stratégies d’autorisation.
  5. Dans la page Liaison de stratégie, sélectionnez une stratégie ou créez une stratégie.
  6. Dans Priorité, définissez le numéro de priorité.
  7. Dans Type, sélectionnez le type de demande, puis cliquez sur OK.
Configuration des stratégies d’autorisation