配置访问方案回退
SmartAccess 允许 NetScaler Gateway 根据端点分析扫描的结果自动确定允许用户设备使用的访问方法。如果用户设备未通过初始端点分析扫描,Accessecure Access fallback 允许用户设备使用 Citrix Workspace 应用程序从 Citrix Secure Access 客户端回退到 Web Interface 或 StoreFront,从而进一步扩展了此功能。
要启用访问方案回退,请配置身份验证后策略,以确定用户在登录 NetScaler Gateway 时是否收到替代访问方法。此身份验证后策略定义为客户端安全表达式,您可以全局配置或作为会话配置文件的一部分进行配置。如果配置会话配置文件,则该配置文件将与会话策略相关联,然后将其绑定到用户、组或虚拟服务器。启用访问方案回退时,NetScaler Gateway 将在用户身份验证后启动端点分析扫描。不符合身份验证后回退扫描要求的用户设备的结果如下:
- 如果启用了客户端选项,则用户只能使用 Citrix Workspace 应用程序登录 Web Interface 或 StoreFront。
- 如果禁用了无客户端访问和客户端选择,则可以将用户隔离到仅提供 Web Interface 或 StoreFront 访问权限的组中。
- 如果 NetScaler Gateway 上启用了无客户端访问和 Web Interface 或 StoreFront,并且禁用了 ICA 代理,则用户将回退到无客户端访问。
- 如果未配置 Web Interface 或 StoreFront 且无客户端访问设置为允许,则用户将回退到无客户端访问。
禁用无客户端访问时,必须为访问方案回退配置以下设置组合:
- 为身份验证后备扫描定义客户端安全参数。
- 定义 Web Interface 主页。
- 禁用客户端选择。
- 如果用户设备未通过客户端安全检查,则会将用户置于隔离组中,该组仅允许访问 Web Interface 或 StoreFront 以及已发布的应用程序。
为访问方案回退创建策略
要配置 NetScaler Gateway 以进行访问方案回退,您需要通过以下方式创建策略和组:
- 创建一个隔离组,如果端点分析扫描失败,用户将被放置在该组中。
- 创建在端点分析扫描失败时使用的全局 Web Interface 或 StoreFront 设置。
- 创建覆盖全局设置的会话策略,然后将会话策略绑定到组。
- 创建在端点分析失败时应用的全局客户端安全策略。
配置访问方案回退时,请遵循以下准则:
- 要使用客户端选择或访问方案回退,所有用户都需要使用 Endpoint Analysis 插件。如果端点分析无法运行,或者用户在扫描期间选择了跳过扫描,则拒绝用户访问。 注意:NetScaler Gateway 10.1 版本 120.1316.e 中删除了跳过扫描的选项。
- 启用客户端选项后,如果用户设备未能通过端点分析扫描,用户将被置于隔离组中。用户可以继续使用 Citrix Secure Access 客户端或 Citrix Workspace 应用程序登录 Web Interform 或 StoreFront。 注意:如果启用客户端选项,Citrix 建议您不要创建隔离组。未能通过端点分析扫描的用户设备将被隔离,其处理方式与通过端点扫描的用户设备的处理方式相同。
- 如果端点分析扫描失败并将用户置于隔离组中,则绑定到隔离组的策略只有在没有直接绑定到该用户且优先级编号与绑定到隔离组的策略相同或低的策略时,绑定到隔离组的策略才有效。
- 您可以为访问界面和 Web Interface 或 StoreFront 使用不同的 Web 地址。配置主页时,Citrix Secure Access 客户端的访问接口主页优先,Web Interface 用户优先使用 Web Interface 主页。Citrix Workspace 应用程序主页优先于 StoreFront。
创建隔离组
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 用户管理,然后单击 AAA 组。
- 在详细信息窗格中,单击“添加”。
- 在“组名”中,键入组的名称,单击“创建”,然后单击“关闭”。 重要:隔离组的名称不得与用户可能所属的任何域组的名称相匹配。如果隔离组与 Active Directory 组名称匹配,则即使用户设备通过了端点分析安全扫描,也会隔离用户。
创建组后,将 NetScaler Gateway 配置为在用户设备无法通过端点分析扫描时回退到 Web Interface 。
配置设置以隔离用户连接
- 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
- 在详细信息窗格的设置下,单击更改全局设置。
- 在“全局 NetScaler Gateway 设置”对话框中,在“已发布的应用程序”选项卡上的 ICA 代理旁边,选择“关”。
- 在 Web Interface 地址旁边,键入 StoreFront 或 Web Interface 的 Web 地址。
- 在 单点登录域旁边,键入 Active Directory 域的名称,然后单击 确定。
配置全局设置后,创建覆盖全局 ICA 代理设置的会话策略,然后将会话策略绑定到隔离组。
为访问方案回退创建会话策略
- 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway > 策略,然后单击会话。
- 在详细信息窗格中,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在“已发布的应用程序”选项卡上,单击 ICA Proxy旁边的“覆盖全局”,选择“开”, 然后单击“创建”
- 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
创建会话策略后,将策略绑定到隔离组。
将会话策略绑定到隔离组
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 用户管理,然后单击 AAA 组。
- 在详细信息窗格中,选择一个组,然后单击 打开。
- 单击会话。
- 在“策 略”选项卡上,选择“会话”,然后单击“插入策略”。
- 在“策略名称”下,选择策略,然后单击“确定”。
在 NetScaler Gateway 上创建启用 Web Interface 或 StoreFront 的会话策略和配置文件后,创建全局客户端安全策略。