ADC

授权策略

配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

授权策略适用于用户和组。用户通过身份验证后,NetScaler Gateway 通过从 RADIUS、LDAP 或 TACACS+ 服务器获取用户的组信息来执行组授权检查。如果用户的组信息可用,NetScaler Gateway 会检查该组允许的网络资源。

要控制用户可以访问哪些资源,必须创建授权策略。如果不需要创建授权策略,则可以配置默认的全局授权。

如果在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径,而不能使用根目录。例如,使用 fs.path 包含“\\dir1\\dir2”而不是 fs.path 包含“\\rootdir\\dir1\\dir2”。如果在本示例中使用第二个版本,则策略将失败。

配置授权策略后,将其绑定到用户或组。

默认情况下,首先根据绑定到虚拟服务器的策略验证授权策略,然后针对全局绑定的策略进行验证。如果您全局绑定策略并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级编号。优先级编号从零开始。较低优先级的数字使策略的优先级越高。

例如,如果全局策略的优先级编号为 1,而用户的优先级为 2,则首先应用全局身份验证策略。

重要:

  • 传统授权策略仅适用于 TCP 流量。
  • 高级授权策略可应用于所有类型的流量(TCP/UDP/ICMP/DNS)。

    • To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

    • While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
    • The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

有关高级授权策略的更多详细信息,请参阅文章https://support.citrix.com/article/CTX232237

配置和绑定授权策略

使用 GUI 配置授权策略

  1. 导航到 NetScaler Gateway > 策略 > 授权
  2. 在详细信息窗格中,单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“操作”中,选择“允许”或“拒绝”。
  5. 在“表达式”中,单击“表达式编辑器”。
  6. 要配置表达式,请单击“选择”并选择必要的元素。 下面是一些表达式示例,
    • HTTP.REQ.USER.IS_MEMBER_OF(\"AllowedGroup\") - 如果用户是“AllowedGroup”用户组的成员, 则可以允许或拒绝该用户的访问权限。
    • CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20) - 如果客户端目标 IP 地址在一定范围内,则可以允许或拒绝访问。
    • HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25) - 如果用户的 HTTP 请求的主机名包含文本“门户服务”,或者客户端设备的目标 IP 地址在子网 10.102.75.0/25 中,则可以允许或拒绝用户的访问。
  7. 表达式完 后,单击“完成”。
  8. 单击创建

使用 GUI 将授权策略绑定到用户

  1. 导航到 NetScaler Gateway > 用户管理
  2. 单击 AAA 用户
  3. 在详细信息窗格中,选择一个用户,然后单击 编辑
  4. 高级设置中,单击 授权策略
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 优先级中,设置优先级编号。
  7. 类型中,选择请求类型,然后单击 确定

使用 GUI 将授权策略绑定到组

  1. 导航到 NetScaler Gateway > 用户管理
  2. 单击 AAA 组
  3. 在详细信息窗格中,选择一个组,然后单击 编辑
  4. 高级设置中,单击 授权策略
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 优先级中,设置优先级编号。
  7. 类型中,选择请求类型,然后单击 确定

授权指定了用户在登录 NetScaler Gateway 时有权访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。

您可以使用授权策略和表达式在 NetScaler Gateway 上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。

默认全局授权

要定义用户在内部网络上有权访问的资源,可以配置默认的全局授权。您可以通过允许或拒绝全局访问内部网络上的网络资源来配置全局授权。

您创建的任何全局授权操作都将直接或通过组应用于尚未与其关联的授权策略的所有用户。用户或组授权策略始终会覆盖全局授权操作。如果将默认授权操作设置为“拒绝”,则必须对所有用户或组应用授权策略,以使这些用户或组可以访问网络资源。此要求有助于提高安全性。

要设置默认全局授权:

  1. 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
  2. 在详细信息窗格中的“Settings”(设置)下,单击“Change global settings”(更改全局设置)。
  3. 在“安全”选项卡上的“默认授权操作”旁边,选择允许或拒绝,然后单击“确定”。
授权策略