This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置组
在 NetScaler Console 中,一个组可以同时拥有功能级别和资源级别的访问权限。例如,一个用户组可能只能访问选定的 NetScaler 实例;另一个组可能只能访问选定的少数应用程序,依此类推。
创建组时,您可以为组分配角色、为组提供应用程序级别的访问权限,并将用户分配给该组。该组中的所有用户在 NetScaler Console 中都拥有相同的访问权限。
您可以在 NetScaler Console 中在网络功能实体级别管理用户访问权限。您可以在实体级别动态地为用户或组分配特定权限。
NetScaler Console 将虚拟服务器、服务、服务组和服务器视为网络功能实体。
-
虚拟服务器(应用程序) - 负载平衡 (lb)、GSLB、内容交换 (CS)、缓存重定向 (CR)、身份验证 (
Auth) 和 NetScaler Gateway (VPN) - 服务 - 负载平衡和 GSLB 服务
- 服务组 - 负载平衡和 GSLB 服务组
- 服务器 - 负载平衡服务器
创建用户组
-
在 NetScaler Console 中,导航到“设置”>“用户和角色”>“组”。
-
单击“添加”。
此时将显示“创建系统组”页面。
-
在“组名称”字段中,输入组的名称。允许的最大长度为 64 个字符。
-
在“组描述”字段中,键入组的描述。提供良好的组描述有助于您以后更好地理解组的角色和功能。
-
在“角色”部分中,将一个或多个角色添加或移动到“已配置”列表中。
注意:
在“可用”列表中,您可以单击“新建”或“编辑”来创建或修改角色。或者,您可以导航到“设置”>“用户和角色”>“用户”来创建或修改用户。
-
选择“配置用户会话超时”以配置用户保持活动状态的时间段。
启用后,请指定以下参数:
- 会话超时:输入用户会话必须保持活动状态的时间段。默认值为 15。
- 会话超时单位:从列表中选择超时单位,以分钟或小时为单位。默认值为分钟。
-
在“用户会话限制”字段中,输入每个用户允许的最大会话数。
注意:
您最多可以配置 40 个用户会话。默认情况下,您被分配 20 个用户会话。但是,如果您属于管理员和只读用户组,则默认情况下会分配 40 个用户会话,并且此值无法更改。
-
单击“下一步”。在“授权设置”选项卡上,您可以为以下资源提供授权设置:
- Autoscale™ 组
- 实例
- 应用程序
- 配置模板
- StyleBooks
- 配置包
- 域名
您可能需要从用户可以访问的类别中选择特定资源。
Autoscale 组:
如果要选择用户可以查看或管理的特定 Autoscale 组,请执行以下步骤:
-
清除“所有 Autoscale 组”复选框,然后单击“添加 Autoscale 组”。
-
从列表中选择所需的 Autoscale 组,然后单击“确定”。
实例:
如果要选择用户可以查看或管理的特定实例,请执行以下步骤:
-
清除“所有实例”复选框,然后单击“选择实例”。
-
从列表中选择所需的实例,然后单击“确定”。
标签:
要根据关联的标签授权用户查看或管理特定实例:
-
清除“所有实例”复选框,然后单击“选择标签”。
-
从列表中选择所需的标签,然后单击“确定”。
稍后,当您将更多实例与选定的标签关联时,授权用户将自动获得对新实例的访问权限。
有关标签以及将标签关联到实例的更多信息,请参阅如何创建标签并将其分配给实例。
应用程序:
“选择应用程序”列表允许您授予用户对所需应用程序的访问权限。
您可以授予对应用程序的访问权限,而无需选择其实例。当您授予用户对某个应用程序的访问权限时,无论实例选择如何,该用户都只能访问该应用程序。
可用选项如下:
-
所有应用程序:默认情况下选择此选项。它添加 NetScaler Console 中存在的所有应用程序。
-
所选实例的所有应用程序:仅当您从“所有实例”类别中选择实例时,此选项才会出现。它添加所选实例上存在的所有应用程序。
-
特定应用程序:此选项允许您添加希望用户访问的所需应用程序。单击“添加应用程序”并从列表中选择所需的应用程序。
-
选择单个实体类型:此选项允许您选择特定类型的网络功能实体和相应的实体。
您可以添加单个实体,也可以选择所需实体类型下的所有实体,以授予用户访问权限。
“也应用于绑定实体”选项授权绑定到所选实体类型的实体。例如,如果您选择一个应用程序并选择“也应用于绑定实体”,则 NetScaler Console 将授权绑定到所选应用程序的所有实体。
注意:
要授权绑定实体,请仅选择一个实体类型。
您可以使用正则表达式搜索并添加符合组的正则表达式条件的网络功能实体。指定的正则表达式将保留在 NetScaler Console 中。要添加正则表达式,请执行以下步骤:
-
单击“添加正则表达式”。
-
在文本框中指定正则表达式。
下图说明了当您选择“特定应用程序”选项时如何使用正则表达式添加应用程序:
下图说明了当您选择“选择单个实体类型”选项时如何使用正则表达式添加网络功能实体:
如果要添加更多正则表达式,请单击“+”图标。
注意:
正则表达式仅匹配“服务器”实体类型的服务器名称,而不匹配服务器 IP 地址。
如果您为发现的实体选择“也应用于绑定实体”选项,则用户可以自动访问绑定到发现实体的实体。
正则表达式存储在系统中以更新授权范围。当新实体与其实体类型的正则表达式匹配时,NetScaler Console 会将授权范围更新为新实体。
配置模板:
如果要选择用户可以查看或管理的特定配置模板,请执行以下步骤:
-
清除“所有配置模板”复选框,然后单击“添加配置模板”。
-
从列表中选择所需的模板,然后单击“确定”。
StyleBooks:
如果要选择用户可以查看或管理的特定 StyleBook,请执行以下步骤:
-
清除“所有 StyleBooks”复选框,然后单击“将 StyleBook 添加到组”。您可以选择单个 StyleBook 或指定筛选查询以授权 StyleBook。
如果要选择单个 StyleBook,请从“单个 StyleBook”窗格中选择 StyleBook,然后单击“保存选择”。
如果要使用查询搜索 StyleBook,请选择“自定义筛选器”窗格。查询是键值对的字符串,其中键为
name、namespace和version。您还可以使用正则表达式作为值来搜索和添加符合组的正则表达式条件的 StyleBook。用于搜索 StyleBook 的自定义筛选查询支持
And和Or运算。示例:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->此查询列出了符合以下条件的 StyleBook:
- StyleBook 名称为
lb-mon或lb。 - StyleBook 命名空间为
com.citrix.adc.stylebooks。 - StyleBook 版本为
1.0。
在定义到键表达式的值表达式之间使用
Or运算。示例:
-
name=lb-mon|lb查询有效。它返回名称为lb-mon或lb的 StyleBook。 -
name=lb-mon | version=1.0查询无效。
按
Enter查看搜索结果,然后单击“保存查询”。
保存的查询显示在“自定义筛选器查询”中。根据保存的查询,NetScaler Console 为这些 StyleBook 提供用户访问权限。
- StyleBook 名称为
-
从列表中选择所需的 StyleBook,然后单击“确定”。
创建组并将用户添加到该组时,您可以选择所需的 StyleBook。当用户选择允许的 StyleBook 时,所有依赖的 StyleBook 也会被选中。
配置包:
在“配置包”中,选择以下选项之一:
-
所有配置:默认情况下选择此选项。它允许用户管理 NetScaler Console 中的所有配置。
-
所选 StyleBook 的所有配置:此选项添加所选 StyleBook 的所有配置包。
-
特定配置:此选项允许您添加任何 StyleBook 的特定配置。
-
用户组创建的所有配置:此选项允许用户仅访问同一组用户创建的配置。
创建组并将用户分配给该组时,您可以选择适用的配置包。
域名:
如果要选择用户可以查看或管理的特定域名,请执行以下步骤:
-
清除“所有域名”复选框,然后单击“添加域名”。
-
从列表中选择所需的域名,然后单击“确定”。
-
单击“创建组”。
-
在“分配用户”部分中,在“可用”列表中选择用户,然后将用户添加到“已配置”列表中。
注意:
您也可以通过单击“新建”来添加用户。
-
单击“完成”。
管理跨多个网络功能实体的用户访问权限
作为管理员,您可以在 NetScaler Console 中在网络功能实体的单个级别管理用户访问权限。而且,您可以使用正则表达式筛选器在实体级别动态地为用户或组分配特定权限。
本文档介绍了如何在实体级别定义用户授权。
开始之前,请创建一个组。有关更多信息,请参阅在 NetScaler Console 上配置组。
使用场景:
考虑一个场景,其中一个或多个应用程序(虚拟服务器)托管在同一台服务器上。超级管理员 (George) 希望仅授予 Steve(应用程序管理员)对 App1 的访问权限,而不授予对托管服务器的访问权限。
下表说明了此环境,其中 Server-A 托管应用程序 App-1 和 App-2。
| 主机服务器 | 应用程序(虚拟服务器) | 服务 | 服务组 |
|---|---|---|---|
| 服务器 A | App1 | App-service-1 | App-service-group-1 |
| 服务器 A | App2 | App-service-2 | App-service-group-2 |
注意
NetScaler Console 将虚拟服务器、服务、服务组和服务器视为网络功能实体。实体类型虚拟服务器被称为应用程序。
要将用户权限分配给网络功能实体,George 定义的用户授权如下:
-
导航到“帐户”>“用户管理”>“组”并添加一个组。
-
在“授权设置”选项卡中,选择“选择应用程序”。
-
选择“选择单个实体类型”。
-
选择“所有应用程序”实体类型,然后从可用列表中添加 App-1 实体。
-
单击“创建组”。
-
在“分配用户”中,选择需要权限的用户。在此场景中,George 选择 Steve 的用户配置文件。
-
单击“完成”。
借助此授权设置,Steve 只能管理 App-1,而不能管理其他网络功能实体。
注意:
确保清除“也应用于绑定实体”选项。否则,NetScaler Console 将授予对绑定到 App-1 的所有网络功能实体的访问权限。因此,也会授予对托管服务器的访问权限。
超级管理员可以为每种实体类型指定正则表达式 (regex)。正则表达式存储在系统中以更新用户授权范围。当新实体与其实体类型的正则表达式匹配时,NetScaler Console 可以动态地授予用户对特定网络功能实体的访问权限。
要动态授予用户权限,超级管理员可以在“授权设置”选项卡中添加正则表达式。
在此场景中,George 将 App* 添加为应用程序实体类型的正则表达式,并且与正则表达式条件匹配的应用程序将显示在列表中。借助此授权设置,Steve 可以访问所有与 App* 正则表达式匹配的应用程序。但是,他的访问权限仅限于应用程序,而不限于托管服务器。
用户访问权限如何根据授权范围而变化
当管理员将用户添加到具有不同访问策略设置的组时,该用户将映射到多个授权范围和访问策略。
在这种情况下,NetScaler Console 根据特定的授权范围授予用户对应用程序的访问权限。
考虑一个用户,他被分配到一个具有两个策略(策略 1 和策略 2)的组。
-
策略 1 – 仅具有对应用程序的查看权限。
-
策略 2 – 具有对应用程序的查看和编辑权限。
用户可以查看策略 1 中指定的应用程序。此外,该用户可以查看和编辑策略 2 中指定的应用程序。对组 1 应用程序的编辑访问受到限制,因为它不在组 1 授权范围之内。
将 NetScaler Console 从 12.0 升级到更高版本时 RBAC 的映射
将 NetScaler Console 从 12.0 升级到 13.1 时,在创建组时您将看不到提供“读写”或“读取”权限的选项。这些权限已替换为“角色和访问策略”,这为您提供了更大的灵活性来向用户提供基于角色的权限。下表显示了 12.0 版本中的权限如何映射到 13.1 版本:
| 12.0 | 仅允许应用程序 | 13.1 |
|---|---|---|
| admin read-write | False | admin |
| admin read-write | True | appAdmin |
| admin read-only | False | readonly |
| admin read-only | True | appReadonly |
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.