Stratégies de trafic
Les stratégies de trafic vous permettent de configurer les paramètres suivants pour les connexions utilisateur :
- Mise en œuvre de délais d’expiration plus courts pour les applications sensibles accessibles à partir de réseaux non fiables.
- Basculement du trafic réseau pour utiliser le protocole TCP pour certaines applications. Si vous sélectionnez TCP, vous devez activer ou désactiver l’authentification unique pour certaines applications.
- Identifier les situations dans lesquelles vous souhaitez utiliser d’autres fonctionnalités HTTP pour le trafic client Citrix Secure Access.
- Définir les extensions de noms de fichiers utilisées avec l’association de types de fichiers.
Créer une stratégie de trafic
Pour configurer une stratégie de trafic, vous devez créer un profil et configurer les paramètres suivants :
- Protocole (HTTP ou TCP)
- Délai d’expiration de
- Connexion unique aux applications Web
- Formulaire d’authentification unique
- Association de type de fichier
- Plug-in de répéteur
- Comptes Kerberos Constrained Delegated (KCD)
Après avoir créé la stratégie de trafic, vous pouvez la lier aux serveurs virtuels, aux utilisateurs, aux groupes ou globalement.
Par exemple, l’application Web PeopleSoft Human Resources est installée sur un serveur du réseau interne. Vous pouvez créer une stratégie de trafic pour cette application qui définit l’adresse IP de destination, le port de destination, et vous pouvez définir la durée pendant laquelle un utilisateur peut rester connecté à l’application, par exemple 15 minutes.
Si vous souhaitez configurer d’autres fonctionnalités, telles que la compression HTTP vers une application, vous pouvez utiliser une stratégie de trafic pour configurer les paramètres. Lorsque vous créez la stratégie, utilisez le paramètre HTTP pour l’action. Dans l’expression, créez l’adresse de destination du serveur exécutant l’application.
Exemples d’expressions de stratégie de trafic
Voici les exemples d’expressions de stratégies de trafic :
-
add vpn trafficPolicy trafPol1 "HTTP.REQ.URL.CONTAINS(\"/Citrix/\") || HTTP.REQ.URL.CONTAINS(\"10.102.\")")" trafAct1
-
add vpn trafficPolicy trafPol2 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv\") || HTTP.REQ.URL.CONTAINS(\"homePage\"))" trafAct2
-
add vpn trafficPolicy trafPol3 true trafAct3
Configurer une stratégie de trafic à l’aide de l’interface graphique
-
Développez NetScaler Gateway > Stratégies, puis cliquez sur Trafic.
-
Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
-
Dans la boîte de dialogue Créer une stratégie de trafic, dans Nom, tapez un nom pour la stratégie.
-
À côté de Demander un profil, cliquez sur Nouveau.
-
Dans Nom, saisissez le nom du profil.
-
Dans Protocole, sélectionnez HTTP ou TCP.
Remarque : Si vous sélectionnez TCP comme protocole, vous ne pouvez pas configurer l’authentification unique et le paramètre est désactivé dans la boîte de dialogue du profil.
-
Dans AppTimeout (minutes), tapez le nombre de minutes. Ce paramètre limite la durée pendant laquelle les utilisateurs peuvent rester connectés à l’application Web.
-
Pour activer l’authentification unique sur l’application Web, dans Single Sign-On, sélectionnez Activé.
Remarque : Si vous souhaitez utiliser l’authentification unique basée sur des formulaires, vous pouvez configurer les paramètres dans le profil de trafic. Pour plus d’informations, consultez Configuration de l’authentification unique basée sur les formulaires.
-
Pour spécifier une association de type de fichier, dans Association de types de fichiers, sélectionnez ON.
-
Pour utiliser le plug-in du répéteur afin d’optimiser le trafic réseau, dans Citrix SD-WAN, sélectionnez ON, cliquez sur Créer, puis sur Fermer.
-
Si vous configurez KCD sur l’appliance, dans Compte KCD, sélectionnez le compte.
Pour plus d’informations sur la configuration de KCD sur le dispositif, consultez Configuration de la délégation contrainte Kerberos sur un dispositif NetScaler.
-
Dans la boîte de dialogue Créer une politique de trafic, créez ou ajoutez une expression, cliquez sur Créer, puis sur Fermer.
Configuration de l’authentification unique basée sur les formulaires
L’authentification unique basée sur les formulaires permet aux utilisateurs de se connecter une fois à toutes les applications protégées de votre réseau. Lorsque vous configurez l’authentification unique basée sur un formulaire dans NetScaler Gateway, les utilisateurs peuvent accéder aux applications Web qui nécessitent une connexion basée sur un formulaire HTML sans avoir à saisir à nouveau leur mot de passe. Sans authentification unique, les utilisateurs doivent ouvrir une session séparément pour accéder à chaque application.
Après avoir créé le profil d’authentification unique du formulaire, vous créez un profil de trafic et une stratégie qui inclut le profil d’authentification unique du formulaire. Pour plus d’informations, consultez la section Création d’une stratégie de trafic.
Configuration de l’authentification unique basée sur les formulaires
-
Développez NetScaler Gateway > Politiques, puis cliquez sur Trafic.
-
Dans le volet d’informations, cliquez sur l’onglet Form SSO Profiles, puis sur Ajouter.
-
Dans Nom, saisissez le nom du profil.
-
Dans URL de l’action, saisissez l’URL à laquelle le formulaire rempli est envoyé.
Remarque : L’URL est l’URL relative racine.
-
Dans Nom d’utilisateur, tapez le nom de l’attribut du champ de nom d’utilisateur.
-
Dans Mot de passe, tapez le nom de l’attribut du champ de mot de passe.
-
Dans SSO Success Rule, créez une expression qui décrit l’action que ce profil entreprend lorsqu’il est invoqué par une politique. Vous pouvez également créer l’expression à l’aide des boutons Préfixe, Ajouter et Opérateur situés sous ce champ.
Cette règle vérifie si l’authentification unique est réussie ou non.
-
Dans Paire de valeurs de nom, tapez la valeur du champ du nom d’utilisateur, suivie d’une esperluette (&), puis de la valeur du champ de mot de passe.
Les noms des valeurs sont séparés par une esperluette (&), telle que name1=value1&name2=value2.
-
Dans la zone Taille de réponse, tapez le nombre d’octets pour permettre la taille complète de la réponse. Tapez le nombre d’octets de la réponse à analyser pour extraire les formulaires.
-
Dans Extraction, sélectionnez si la paire nom/valeur est statique ou dynamique. Le paramètre par défaut est Dynamique.
-
Dans Méthode d’envoi, sélectionnez la méthode HTTP utilisée par le formulaire d’authentification unique pour envoyer les informations d’identification de connexion au serveur d’ouverture de session. La valeur par défaut est Obtenir.
-
Cliquez sur Créer, puis sur Fermer.
Configuration de l’authentification unique SAML
Vous pouvez créer un profil SAML 1.1 ou SAML 2.0 pour l’authentification unique (SSO). Les utilisateurs peuvent se connecter à des applications Web prenant en charge le protocole SAML pour l’authentification unique. NetScaler Gateway prend en charge l’authentification unique par fournisseur d’identité (IdP) pour les applications Web SAML.
Configuration de l’authentification unique SAML
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway \ > Policies, puis cliquez sur Traffic.
- Dans le volet d’informations, cliquez sur l’onglet Profil SSO SAML.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans Nom, saisissez le nom du profil.
- Dans Nom du certificat de signature, saisissez le nom du certificat X.509.
- Dans ACS URL, entrez le service ACS (consommateur d’assertion) du fournisseur de services ou d’identités. L’URL AssertionConsumerServiceUrl (ACS URL) fournit une fonctionnalité SSO aux utilisateurs.
- Dans Relay State Rule, créez l’expression de la stratégie à partir des expressions de stratégie enregistrées et des expressions fréquemment utilisées. Sélectionnez dans la liste Opérateur pour définir le mode d’évaluation de l’expression. Pour tester l’expression, cliquez sur Evaluer.
- Dans Envoyer le mot de passe, sélectionnez ON ou OFF.
- Dans Nom de l’émetteur, saisissez l’identité de l’application SAML.
- Cliquez sur Créer, puis sur Fermer.
Liaison d’une stratégie de trafic
Vous pouvez lier des stratégies de trafic à des serveurs virtuels, à des groupes, à des utilisateurs et à NetScaler Gateway Global. Vous pouvez utiliser l’utilitaire de configuration pour lier une stratégie de trafic.
Liez une stratégie de trafic globalement à l’aide de l’interface graphique
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway > Policies, puis cliquez sur Traffic.
- Dans le volet d’informations, sélectionnez une politique, puis dans Action, cliquez sur Liaisons globales.
- Dans la boîte de dialogue Bind/Unbind Traffic Policies, sous Détails, cliquez sur Insérer une stratégie.
- Sous Nom de la stratégie, sélectionnez la stratégie, puis cliquez sur OK.
Supprimer les stratégies de trafic
Vous pouvez utiliser l’utilitaire de configuration pour supprimer les stratégies de trafic de NetScaler Gateway. Si vous utilisez l’utilitaire de configuration pour supprimer une stratégie de trafic et que la stratégie est liée au niveau de l’utilisateur, du groupe ou du serveur virtuel, vous devez d’abord dissocier la stratégie. Vous pouvez ensuite supprimer la stratégie.
Délier une stratégie de trafic à l’aide de l’interface graphique
- Développez NetScaler Gateway, puis cliquez sur Serveurs virtuels.
- Développez NetScaler Gateway > Administrationdes utilisateurs, puis cliquez sur Groupes AAA.
- Développez NetScaler Gateway > Administration des utilisateurs, puis cliquez sur Utilisateurs AAA.
- Dans le volet d’informations, sélectionnez un serveur virtuel, un groupe ou un utilisateur, puis cliquez sur Ouvrir.
- Dans la boîte de dialogue Configurer le serveur virtuel NetScaler Gateway, Configurer le groupe AAAou Configurer l’utilisateur AAA, cliquez sur l’onglet Stratégies.
- Cliquez sur Trafic, sélectionnez la stratégie, puis cliquez sur Unbind Policy.
- Cliquez sur OK, puis sur Fermer.
Une fois la stratégie de trafic non liée, vous pouvez la supprimer.
Supprimer une stratégie de trafic à l’aide de l’interface graphique
- DéveloppezNetScaler Gateway > Politiques, puis cliquez sur Trafic.
- Dans le volet d’informations, sous l’onglet Stratégies, sélectionnez la stratégie de trafic, puis cliquez sur Supprimer.