身份验证、授权和审核的工作原理
身份验证、授权和审核允许任何具有适当凭据的客户端从 Internet 上的任意位置安全地连接到受保护的应用程序服务器,从而为分布式 Internet 环境提供了安全性。此功能融合了身份验证、授权和审核这三个安全功能。身份验证使 NetScaler 能够在本地或使用第三方身份验证服务器验证客户端的凭据,并且仅允许获得批准的用户访问受保护的服务器。授权使 ADC 能够验证允许每位用户访问受保护的服务器上的哪些内容。通过审核,ADC 能够在受保护的服务器上记录每位用户的活动。
要了解身份验证、授权和审核在分布式环境中的工作原理,请假设一个使用 Intranet 的组织,该组织的员工可以在办公室、家中和出差时进行访问。Intranet 上的内容是机密的,需要安全访问。任何想要访问 Intranet 的用户都必须具有有效的用户名和密码。为了满足这些要求,ADC 将执行以下操作:
配置身份验证授权和审核策略
设置用户和组后,接下来,您将配置身份验证策略、授权策略和审核策略,以定义允许哪些用户访问 Intranet、允许每个用户或组访问哪些资源以及身份验证、授权和审核以何种详细级别保留在审核日志中。身份验证策略定义了用户尝试登录时要应用的身份验证类型。如果使用外部身份验证,策略还会指定外部身份验证服务器。授权策略指定用户和组在登录后可以访问的网络资源。审核策略定义审核日志类型和位置。
您必须绑定每个策略才能使其生效。可以将身份验证策略绑定到身份验证虚拟服务器,将授权策略绑定到一个或多个用户帐户或组,并将全局审核策略绑定到一个或多个用户帐户或组。
绑定策略时,您需要为其分配优先级。优先级决定了您定义的策略的评估顺序。可以将优先级设置为任何正整数。在 NetScaler 操作系统中,策略优先级的运作顺序相反:数字越高,优先级越低。例如,如果您有三个策略的优先级分别为 10、100 和 1000,则首先执行分配的优先级为 10 的策略,然后执行分配的优先级为 100 的策略,最后执行分配的优先级为 1000 的策略。身份验证、授权和审核功能仅实施请求匹配的每种策略类型中的第一种策略,而不实施请求可能也匹配的任何其他类型的策略,因此策略优先级对于获取预期结果至关重要。
可以为自己留出足够的空间来按任何顺序添加其他策略,也可以将其设置为按所需顺序进行评估,方法是在绑定策略时,在每个策略之间设置间隔为 50 或 100 的优先级。然后,您可以随时添加其他策略,而无需重新分配现有策略的优先级。
有关 NetScaler 设备上绑定策略的其他信息,请参阅 NetScaler 产品文档。
配置 No_Auth 策略以绕过特定流量
现在,您可以将 No_Auth 策略配置为在流量管理虚拟服务器上启用基于 401 的身份验证时绕过身份验证中的某些流量。对于此类流量,您必须绑定“No_Auth”策略。
使用 CLI 将 No_Auth 策略配置为绕过特定流量
在命令提示符下,键入:
add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->
示例:
add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.