This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置组
在 NetScaler ADM 中,组可以具有功能级别和资源级别的访问权限。例如,一组用户可能只能访问选定的 NetScaler 实例;另一组用户只能访问选定的几个应用程序,依此类推。
创建组时,您可以为组分配角色、提供对组的应用程序级别访问权限以及将用户分配给组。该组中的所有用户都在 NetScaler ADM 中分配相同的访问权限。
您可以在 NetScaler ADM 中管理网络功能实体的各个级别的用户访问权限。您可以在实体级别为用户或组动态分配特定权限。
NetScaler ADM 将虚拟服务器、服务、服务组和服务器视为网络功能实体。
-
虚拟服务器(应用程序) - 负载平衡 (lb)、GSLB、上下文切换 (CS)、缓存重定向 (CR)、身份验证 (
Auth) 和 NetScaler Gateway (VPN) - 服务 -负载平衡和 GSLB 服务
- 服务组 -负载平衡和 GSLB 服务组
- 服务器 -负载平衡服务器
创建用户组
-
在 NetScaler ADM 中,导航 到设置 > 用户和角色 > 组。
-
单击添加。
屏幕上将显示“创建系统组”页面。
-
在 组名称 字段中,输入组的名称。允许的最大长度为 64 个字符。
-
在“组描述”字段中,键入组的描述。对小组进行良好的描述有助于您在以后更好地了解该组的角色和职能。
-
在“角色”部分中,将一个或多个角色添加或移动到“已配置”列表中。
注意:
在“可用”列表下,您可以单击“新 建”或“编辑”,然后创建或修改角色。或者,您可以导航到“设置”>“用户和角色”>“用户”,然后创建或修改用户。
-
选择“配置用户会话超时”来配置用户保持活动状态的时间段。
启用后,指定以下参数:
- 会话超时:输入用户会话必须保持活动状态的时间段。默认值为 15。
- 会话超时单位:从列表中选择超时单位,以分钟或小时为单位。默认值为分钟。
-
在“用户会话限制”字段中,输入每个用户允许的最大会话数。
注意:
您最多可以配置 40 个用户会话。默认情况下,系统会为您分配 20 个用户会话。但是,如果您属于管理员和只读用户组,则默认情况下会为您分配 40 个用户会话,并且此值无法更改。
-
单击下一步。在 授权设置 选项卡上,您可以为以下资源提供授权设置:
- AutoScale 组
- 实例
- 应用程序
- 配置模板
- 样书
- 配置包
- 域名
您可能需要从用户可以访问的类别中选择特定资源。
AutoScale 组:
如果要选择用户可以查看或管理的特定 Autoscale 组,请执行以下步骤:
-
清除“所有 AutoScale 组”复选框,然后单击“添加 AutoScale 组”。
-
从列表中选择所需的 AutoScale 组,然后单击“确定”。
实例:
如果要选择用户可以查看或管理的特定实例,请执行以下步骤:
-
清除“所有实例”复选框,然后单击“选择实例”。
-
从列表中选择所需的实例,然后单击“确定”。
应用程序:
“选择应用程序”列表允许您向用户授予所需应用程序的访问权限。
您可以向应用程序授予访问权限,而无需选择其实例。当您向用户授予应用程序访问权限时,无论选择何种实例,该用户都有权仅访问该应用程序。
以下选项可用:
-
所有应用程序: 默认情况下,此选项处于选中状态。它添加了 NetScaler ADM 中存在的所有应用程序。
-
选定实例的所有应用程序: 仅当您从“所有 实例”类别中选择实例时,此选项才会出现。它添加了选定实例上存在的所有应用程序。
-
特定应用程序: 此选项允许您添加希望用户访问的所需应用程序。单击 添加应用程序”,然后从列表中选择所需的应用程序。
-
选择单个实体类型: 此选项允许您选择特定类型的网络功能实体和相应的实体。
您可以添加单个实体,也可以选择所需实体类型下的所有实体,以向用户授予访问权限。
“应用于绑定实体也”选项授权绑定到选定实体类型的实体。例如,如果您选择一个应用程序并选择“在绑定实体上应用”,则 NetScaler ADM 会对绑定到所选应用程序的所有实体进行授权。
注意:
要授权绑定实体,请仅选择一种实体类型。
您可以使用正则表达式搜索和添加符合组正则表达式条件的网络函数实体。指定的正则表达式保留在 NetScaler ADM 中。要添加正则表达式,请执行以下步骤:
-
单击“添加正则表达式”。
-
在文本框中指定正则表达式。
下图说明了在选择“特定应用程序”选项时如何使用正则表达式添加应用程序:
下图说明了在选择“选择单个实体类型”选项时如何使用正则表达式添加网络函数实体 :
如果要添加更多正则表达式,请单击 + 图标。
注意:
正则表达式仅匹配服务器实体类型的服务器名称,而不匹配服务器 IP 地址。
如果您为已发现的 实体选择“同时应用于绑定 实体”选项,则用户可以自动访问绑定到已发现实体的实体。
正则表达式存储在系统中以更新授权范围。当新实体与其实体类型的正则表达式匹配时,NetScaler ADM 会将授权范围更新到新实体。
配置模板:
如果要选择用户可以查看或管理的特定配置模板,请执行以下步骤:
-
清除“所有配置模板”复选框,然后单击“添加配置模板”。
-
从列表中选择所需的模板,然后单击“确定”。
样书:
如果要选择用户可以查看或管理的特定样书,请执行以下步骤:
-
清除“所有样书”复选框,然后单击“将样式手册添加到组”。您可以选择单个样书,也可以指定筛选器查询来授权样书。
如果要选择单个样书,请从“单个样书”窗格中选择样书,然后单击保存所选内容。
如果要使用查询来搜索样书,请选择自定义过滤器窗格。查询是键值对的字符串,其中键是
name、namespace和version。您还可以使用正则表达式作为值来搜索和添加符合组正则表达式条件的样书。用于搜索样书的自定义筛选器查询同时支持
And和Or操作。示例:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->此查询列出了满足以下条件的样书:
- 样书名称是
lb-mon或lb。 - 样书名称空间是
com.citrix.adc.stylebooks。 - 样书版本是
1.0。
在为键表达式定义的值表达式之间使用
Or操作。示例:
-
name=lb-mon|lb查询是有效的。它返回名称为lb-mon或lb的样书。 -
name=lb-mon | version=1.0查询无效。
按
Enter以查看搜索结果,然后单击 保存查询。
保存的查询将显示在 自定义筛选器查询中。根据保存的查询,ADM 为用户提供对这些样书的访问权限。
- 样书名称是
-
从列表中选择所需的样书,然后单击“确定”。
您可以在创建组并将用户添加到该组时选择所需的样书。当用户选择允许的样书时,也会选择所有相关样书。
配置包:
在 配置包中,选择以下选项之一:
-
所有配置:默认情况下,此选项处于选中状态。它允许用户管理 ADM 中的所有配置。
-
所选样书的所有配置:此选项添加所选样书的所有配置包。
-
特定配置:此选项允许您添加任何样书的特定配置。
-
用户组创建的所有配置:此选项仅允许用户访问由同一组的用户创建的配置。
在创建组并将用户分配到该组时,您可以选择适用的配置包。
域名:
如果要选择用户可以查看或管理的特定域名,请执行以下步骤:
-
清除“所有域名”复选框,然后单击“添加域名”。
-
从列表中选择所需的域名,然后单击“确定”。
-
单击创建组。
-
在“分 配用户”部分中,在“可用”列表中选择用户,然后将该用户添加到“已配置”列表中**。
注意:
您也可以通过单击“新建”来添加用户。
-
单击完成。
管理多个网络功能实体之间的用户访问权限
作为管理员,您可以在 NetScaler ADM 中管理网络功能实体的各个级别的用户访问权限。而且,您可以使用正则表达式筛选器在实体级别向用户或组动态分配特定权限。
本文档介绍如何在实体级别定义用户授权。
在开始之前,请创建一个组。有关详细信息,请参阅 在 NetScaler ADM 上配置组 。
使用方案:
假设一个或多个应用程序(虚拟服务器)托管在同一台服务器上的场景。超级管理员 (George) 只想向 Steve (应用程序管理员) 授予对 App1 的访问权限,而不想授予对托管服务器的访问权限。
下表说明了这种环境,其中 Server-A 托管应用程序 App-1 和 App-2。
| 主机服务器 | 应用程序(虚拟服务器) | 服务 | 服务组 |
|---|---|---|---|
| 服务器 A | App1 | App-service-1 | App-service-group-1 |
| 服务器 A | App2 | App-service-2 | App-service-group-2 |
注意
NetScaler ADM 将虚拟服务器、服务、服务组和服务器视为网络功能实体。实体类型的虚拟服务器被称为应用程序。
为了向网络功能实体分配用户权限,George 将用户授权定义如下:
-
导航到“帐户”>“用户管理”>“组”,然后添加组。
-
在“授权设置”选项卡中,选择“选择应用程序”。
-
选择“选择单个实体类型”。
-
选择“所有应用程序”实体类型,然后从可用列表中添加 App-1 实体。
-
单击创建组。
-
在 分配用户中,选择需要权限的用户。在这种情况下,George 选择了 Steve 的用户个人资料。
-
单击完成。
使用此授权设置,Steve 只能管理 App-1,不能管理其他网络功能实体。
注意:
确保清除“同时应用于绑定实体”选项。否则,NetScaler ADM 会授予绑定到 App-1 的所有网络功能实体的访问权限。因此,还授予对托管服务器的访问权限。
超级管理员可以为每种实体类型指定正则表达式(regex)。正则表达式存储在系统中以更新用户授权范围。当新实体与其实体类型的正则表达式匹配时,NetScaler ADM 可以动态授予用户访问特定网络功能实体的权限。
要动态授予用户权限,超级管理员可以在“授权设置”选项卡中添加正则表达式。
在这种情况下,George 将应用程序实体类型添加 App* 为正则表达式,匹配正则表达式条件的应用程序出现在列表中。使用此授权设置,Steve 可以访问与正则 App* 表达式匹配的所有应用程序。但是,他的访问权限仅限于应用程序,不限于托管服务器。
用户访问权限如何根据授权范围进行更改
当管理员将用户添加到具有不同访问策略设置的组时,该用户将被映射到多个授权作用域和访问策略。
在这种情况下,ADM 根据特定的授权范围向用户授予应用程序访问权限。
考虑分配给具有两个策略策略 1 和策略 2 的组的用户。
-
策略 1 — 仅查看应用程序的权限。
-
Policy-2 -查看和编辑应用程序的权限。
用户可以查看 Policy-1 中指定的应用程序。此外,此用户还可以查看和编辑策略 2 中指定的应用程序。对组 1 应用程序的编辑访问受到限制,因为它不在组 1 授权范围内。
将 NetScaler ADM 从 12.0 升级到更高版本时的 RBAC 映射
将 NetScaler ADM 从 12.0 升级到 13.1 时,您看不到在创建组时提供“读写”或“读取”权限的选项。这些权限被“角色和访问策略”所取代,这使您可以更灵活地向用户提供基于角色的权限。下表显示了 12.0 版中的权限如何映射到版本 13.1:
| 12.0 | 仅允许应用程序 | 13.1 |
|---|---|---|
| admin read-write | False | admin |
| admin read-write | True | appAdmin |
| admin read-only | False | readonly |
| admin read-only | True | appReadonly |
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.