基于角色的访问控制

NetScaler 控制台提供细粒度的基于角色的访问控制 (RBAC),您可以根据企业内各个用户的角色授予访问权限。 在此上下文中,访问是执行特定任务的能力,例如查看、创建、修改或删除文件。  角色是根据企业内用户的权限和职责来定义的。 例如,可能允许一个用户执行所有网络操作,而另一个用户可以观察应用程序中的流量并帮助创建配置模板。

角色由策略决定。 创建策略后,您可以创建角色,将每个角色绑定到一个或多个策略,并将角色分配给用户。 您还可以为用户组分配角色。

组是具有共同权限的用户的集合。 例如,可以将管理特定数据中心的用户分配到一个组。 角色是根据特定条件授予用户或组的身份。 在 NetScaler 控制台中,创建角色和策略特定于 NetScaler 中的 RBAC 功能。 随着企业需求的发展,可以轻松创建、更改或停止角色和策略,而无需为每个用户单独更新权限。

角色可以基于特征或基于资源。 例如,考虑一个 SSL/安全管理员和一个应用程序管理员。 SSL/安全管理员必须具有 SSL 证书管理和监控功能的完全访问权限,但必须具有系统管理操作的只读访问权限。 应用程序管理员必须只能访问范围内的资源。

例子:

NetScaler 集团负责人 Chris 是其组织中 NetScaler 控制台的超级管理员。 Chris 创建了三个管理员角色:安全管理员、应用程序管理员和网络管理员。

安全管理员 David 必须拥有 SSL 证书管理和监控的完全访问权限,但也要拥有系统管理操作的只读访问权限。

应用程序管理员 Steve 只需要访问特定的应用程序和特定的配置模板。

网络管理员 Greg 需要访问系统和网络管理。

Chris 还必须为所有用户提供 RBAC,无论他们是本地用户还是外部用户。

NetScaler 控制台用户可以通过本地身份验证,也可以通过外部服务器(RADIUS/LDAP/TACACS)进行身份验证。 无论采用何种身份验证方法,RBAC 设置都必须适用于所有用户。

下图显示了管理员和其他用户拥有的权限以及他们在组织中的角色。

管理员权限示例

限制

以下 NetScaler 控制台功能不完全支持 RBAC:

示例 1: 基于实例的 RBAC(支持)

已分配少量实例的管理员只能看到 Web Insight > Instances下的实例,以及 Web Insight > Applications下的相应虚拟服务器,因为 RBAC 在实例级别受支持。

示例 2: 基于应用程序的 RBAC(不支持)

已分配几个应用程序的管理员可以看到 Web Insight > 应用程序 下的所有虚拟服务器,但无法访问它们,因为应用程序级别不支持 RBAC。