-
-
配置授权策略
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置授权策略
配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:
CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)
授权策略适用于用户和组。用户通过身份验证后,NetScaler Gateway 通过从 RADIUS、LDAP 或 TACACS+ 服务器获取用户的组信息来执行组授权检查。如果用户的组信息可用,NetScaler Gateway 会检查该组允许的网络资源。
要控制用户可以访问哪些资源,必须创建授权策略。如果不需要创建授权策略,则可以配置默认的全局授权。
如果在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径,而不能使用根目录。例如,使用 fs.path 包含“\\dir1\\dir2”而不是 fs.path 包含“\\rootdir\\dir1\\dir2”。如果在本示例中使用第二个版本,则策略将失败。
配置授权策略后,然后将其绑定到用户或组,如下面的任务所示。
默认情况下,首先根据绑定到虚拟服务器的策略验证授权策略,然后针对全局绑定的策略进行验证。如果您全局绑定策略并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级编号。优先级编号从零开始。较低优先级的数字使策略的优先级越高。
例如,如果全局策略的优先级编号为 1,而用户的优先级为 2,则首先应用全局身份验证策略。
重要:
- 传统授权策略仅适用于 TCP 流量。
高级授权策略可应用于所有类型的流量(TCP/UDP/ICMP/DNS)。
To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.
- While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
- The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.
有关高级授权策略的更多详细信息,请参阅文章https://support.citrix.com/article/CTX232237。
授权策略表达式示例
以下是授权策略的表达式示例:
-
add authorization policy athzPol1 "HTTP.REQ.USER.IS_MEMBER_OF(\"allowedGroup\")" ALLOW
-
add authorization policy athzPol2 "CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20)" DENY
-
add authorization policy athzPol3 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25)" ALLOW
使用 GUI 配置授权策略
- 导航到 NetScaler Gateway > 策略 > 授权。
- 在详细信息窗格中,单击“添加”。
- 在名称中,键入策略的名称。
- 在“操作”中,选择“允许”或“拒绝”。
- 在“表达式”中,单击“表达式编辑器”。
- 要开始配置表达式,请单击选 择 并选择必要的元素。
- 表达式完 成 后,单击“完成”。
- 单击创建。
使用 GUI 将授权策略绑定到用户
- 导航到 NetScaler Gateway > 用户管理。
- 单击 AAA 用户。
- 在详细信息窗格中,选择一个用户,然后单击 编辑。
- 在 高级设置中,单击 授权策略。
- 在 策略绑定 页面中,选择策略或创建策略。
- 在 优先级中,设置优先级编号。
- 在 类型中,选择请求类型,然后单击 确定。
使用 GUI 将授权策略绑定到组
- 导航到 NetScaler Gateway> 用户管理。
- 单击 AAA 组。
- 在详细信息窗格中,选择一个组,然后单击 编辑。
- 在 高级设置中,单击 授权策略。
- 在 策略绑定 页面中,选择策略或创建策略。
- 在 优先级中,设置优先级编号。
- 在 类型中,选择请求类型,然后单击 确定。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.