ADC

用户和组

配置身份验证、授权和审核基本设置后,您可以创建用户和组。首先为通过 Citrix ADC 设备进行身份验证的每个人创建一个用户帐户。如果您使用的是 Citrix ADC 设备本身控制的本地身份验证,则需要创建本地用户帐户并为其中的每个帐户分配密码。

如果使用的是外部身份验证服务器,也可以在 Citrix ADC 设备上创建用户帐户。但是,在这种情况下,每个用户帐户必须完全匹配外部身份验证服务器上该用户的帐户,并且不会为在 Citrix ADC 上创建的用户帐户分配密码。外部身份验证服务器管理通过外部身份验证服务器进行身份验证的用户的密码。

如果您使用的是外部身份验证服务器,则仍然可以在 Citrix ADC 设备上创建本地用户帐户,例如,如果您希望允许临时用户(如访客)登录但不希望在身份验证服务器上为这些用户创建条目。您可以为每个本地用户帐户分配密码,就像对所有用户帐户使用本地身份验证一样。

每个用户帐户必须绑定到用于身份验证和授权的策略。要简化此任务,您可以创建一个或多个组并为其分配用户帐户。然后,您可以将策略绑定到组而不是单个用户帐户。

使用组配置策略

配置组后,可以使用 “ ” 对话框应用指定用户访问权限的策略和设置。如果使用本地身份验证,则可以创建用户并将其添加到 Citrix Gateway 上配置的组中。然后,用户继承该组的设置。

您可以在 “组” 对话框中为一组用户配置以下策略或设置:

  • 用户
  • 授权策略
  • 审核策略
  • 会话策略
  • 流量策略
  • 书签
  • 内联网应用程序
  • 内联网 IP 地址

在配置中,您可能有属于多个组的用户。此外,每个组可能具有一个或多个绑定会话策略,并配置了不同的参数。属于多个组的用户继承分配给该用户所属的所有组的会话策略。要确保哪个会话策略评估优先于另一个,您必须设置会话策略的优先级。

例如,您的 group1 绑定了使用主页 www.homepage1.com 配置的会话策略。Group2 与配置了主页 www.homepage2.com 的会话策略绑定。当这些策略绑定到没有优先级号或具有相同优先级编号的相应组时,属于这两个组的用户显示的主页取决于首先处理哪个策略。通过为包含主页 www.homepage1.com 的会话策略设置较低的优先级号码,这将提高优先级,您可以确保属于这两个组的用户都能收到主页 www.homepage1.com。

如果会话策略未分配优先级号或具有相同的优先级号,则按以下顺序评估优先级:

  • 用户
  • 虚拟服务器
  • 全局

如果策略绑定到同一级别,没有优先级号,或者如果策略具有相同的优先级号,则评估顺序按策略绑定顺序进行。首先绑定到级别的策略优先于稍后绑定的策略。

如果我们有一个用户绑定到多个组,每个组都绑定了 IIP,则该用户可以从任何绑定组获取免费 IP。

创建用户和组

使用 GUI 配置身份验证、授权和审计本地用户

  1. 导航到 安全 > AAA-应用程序流量 > 来自 Citrix Gateway 的用户,展开 Citrix 网关 > 用户管理,然后单击 AAA 用户
  2. 在详细信息窗格中,执行以下操作之一:

    • 若要创建新的用户帐户,请单击“添加”。
    • 若要修改现有用户帐户,请选择该用户帐户,然后单击打开
  3. 在“创建 AAA 用户”对话框的“用户名”文本框中,键入用户的名称。
  4. 如果创建经本地身份验证的用户帐户,请清除 “ 外部身份验证 ” 复选框,然后提供用户登录时使用的本地密码。
  5. 单击 Create(创建)或 OK(确定),然后单击 Close(关闭)。状态栏中将显示一条消息,指出用户已成功配置。

使用配置实用程序配置身份验证、授权和审核本地组并将用户添加到它们

  1. 导航到 安全 > AAA-应用程序流量 > 来自 Citrix Gateway 的组,展开 Citrix 网关 > 用户管理,然后单击 AAA 组
  2. 在详细信息窗格中,执行以下操作之一:
    • 要创建新组,请单击“添加”。
    • 要修改现有组,请选择该组,然后单击“编辑”。
  3. 如果要创建新组,请在“创建 AAA 组”对话框的“组名称”文本框中键入该组的名称。
  4. 在右侧的高级区域中,单击 AAA 用户

    • 若要将用户添加到组,请选择该用户,然后单击“添加”。
    • 若要从组中删除用户,请选择该用户,然后单击“删除”。
    • 若要创建新用户帐户并将其添加到组中,请单击加号图标,然后按照“使用配置实用程序配置身份验证、授权和审核本地用户”中的说明操作。“
  5. 单击 Create(创建)或 OK(确定)。您创建的组将显示在 AAA 组页面中。

使用 GUI 删除群组

您还可以从 Citrix Gateway 中删除用户组。

  1. 导航到 安全 > AAA-应用程序流量 > 来自 Citrix Gateway 的组、ExpandCitrix 网关 > 用户管理, 然后单击 AAA 组。 在详细信息窗格中,选择组,然后单击删除。

使用 CLI 配置身份验证、授权和审核本地用户

在命令提示符下,键入以下命令:

add aaa group <groupname>

bind aaa group <groupname> -username <username>
<!--NeedCopy-->

示例:

add aaa group group-2

bind aaa group group-2 -username user-2
<!--NeedCopy-->

使用命令行界面将用户从身份验证、授权和审核组中删除

在命令提示符下,通过为绑定到该组的每个用户帐户键入以下命令一次从该组中取消绑定用户:

unbind aaa group <groupname> -username <username><!--NeedCopy-->

**示例:**

<!--NeedCopy-->

unbind aaa group group-hr -username user-hr-1


### 使用命令行界面删除身份验证、授权和审核组

首先从组中删除所有用户。然后,在命令提示符处键入以下命令以删除 Citrix ADC AAA 组并验证配置:

<!--NeedCopy-->

rm aaa group


**示例:**

<!--NeedCopy-->

rm aaa group group-hr


> **注意:**
>
>如果用户名已在没有域的情况下添加,则无法添加带有域的用户名。如果首先添加带域的用户名,然后再添加不带域的相同用户名,则 Citrix ADC 设备会将用户名添加到用户列表中。

以下示例显示如果添加不带域的同一用户名,则不允许添加带有域的用户名。

<!--NeedCopy-->

add aaa user u47985 Done show aaa users 1) UserName: u47985 Done add aaa user u47985@domain.com ERROR: User already exists ```

以下示例显示如果首先添加带域的用户名,然后添加不带域的同一用户名,则 Citrix ADC 设备会将用户名添加到用户列表中。

> add aaa user u47985@domain.com
Done
> add aaa user u47985
Done
> sh aaa user
1)   UserName: u47985@domain.com
2)   UserName: u47985

```

用户和组