会话策略
会话策略是应用于用户、组、虚拟服务器和全局的表达式和设置的集合。
您可以使用会话策略配置用户连接的设置。您可以定义设置来配置用户登录时使用的软件,例如适用于 Windows 的 Citrix Secure Access 客户端或适用于 Mac 的 Citrix Secure Access 客户端。您还可以配置要求用户使用 Citrix Workspace 应用程序或 Secure Hub 登录的设置。会话策略在用户通过身份验证后进行评估和应用。
会话策略将根据以下规则应用:
- 会话策略始终覆盖配置中的全局设置。
- 未使用会话策略设置的任何属性或参数都是在为虚拟服务器建立的策略上设置的。
- 未由会话策略或虚拟服务器设置的任何其他属性均由全局配置设置。
重要:
以下说明是创建会话策略的一般准则。有关为不同配置(例如无客户端访问或访问已发布应用程序)配置会话策略的具体说明。这些说明可能包含配置特定设置的说明。但是,该设置可以是会话配置文件和策略中包含的许多设置之一。这些说明指导您在会话配置文件中创建设置,然后将该配置文件应用于会话策略。您可以在配置文件和策略中更改设置,而无需创建会话策略。此外,您可以在全局级别创建所有设置,然后创建会话策略来覆盖全局设置。
如果在网络中部署 Citrix Endpoint Management 或 StoreFront,Citrix 建议使用快速配置向导来配置会话策略和配置文件。运行向导时,您可以定义部署的设置。然后,NetScaler Gateway 会创建所需的身份验证、会话和无客户端访问策略。
创建会话策略
- 在配置实用程序中,在“配置”选项卡的导航窗格中,展开 NetScaler Gateway > 策略,然后单击“会话”。
- 在详细信息窗格的“策略”选项卡上,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在“Name”(名称)中,键入配置文件的名称。
- 完成会话配置文件的设置,然后单击创建。
- 在“创建会话配置文件”对话框中,为策略添加表达式,单击“创建”,然后单击“关闭”。 注意:在表达式中,选择 True value,以便策略始终应用于其绑定到的级别。
会话策略表达式示例
以下是会话策略的表达式示例:
-
add vpn sessionPolicy sessPol1 "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\") || HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixWorkspace\")" sessAct1
-
add vpn sessionPolicy sessPol2 "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT" sessAct2
-
add vpn sessionPolicy sessPol3 true sessAct3
绑定会话策略
创建会话策略后,将其绑定到用户、组、虚拟服务器或全局。会话策略按以下顺序作为层次结构应用:
- 用户
- 组
- Virtual servers(虚拟服务器)
- 全球
使用 GUI 将会话策略绑定到虚拟服务器
- 导航到 NetScaler Gateway > 虚拟服务器。
- 选择虚拟服务器,然后单击 Edit(编辑)。您还可以创建新的虚拟服务器。
- 向下滚动到“策略”部分,然后单击 + 图标。
- 在 选择策略中,选择 会话。
- 在 选择类型中,选择 请求,然后单击 继续。
- 在 选择策略中,选择要绑定到此虚拟服务器的策略。
- 在 优先级中,输入策略的优先级编号。
- 单击绑定。
使用 GUI 将会话策略绑定到身份验证、授权和审核组
- 导航到 NetScaler Gateway > 用户管理 > AAA 组。
- 选择现有的身份验证、授权和审核组,然后单击 编辑。您还可以创建身份验证、授权和审核组。
- 在“高级设置”中,单击“策略”, 然后单击“+”图标。
- 在 选择策略中,选择 会话,然后单击 继续。
- 在 选择策略中,选择要绑定到此身份验证、授权和审核组的策略。
- 在 优先级中,输入策略的优先级编号。
- 单击绑定。
使用 GUI 将会话策略绑定到身份验证、授权和审核用户
- 导航到 NetScaler Gateway > 用户管理 > AAA 用户。
- 选择现有 NetScaler 用户,然后单击 编辑。您还可以创建身份验证、授权和审核用户。
- 在“高级设置”中,单击“策略”, 然后单击“+”图标。
- 在 选择策略中,选择 会话,然后单击 继续。
- 在选择策略中,选择要绑定到此身份验证、授权和审核用户的策略。
- 在 优先级中,输入策略的优先级编号。
- 单击绑定。
注意:有关优先级的详细信息,请参阅 https://support.citrix.com/article/CTX214588。
创建会话配置文件
会话配置文件包含用户连接的设置。
会话配置文件指定在用户设备满足策略表达式条件时应用于用户会话的操作。配置文件与会话策略一起使用。您可以使用配置实用程序独立于会话策略创建会话配置文件,然后将该配置文件用于多个策略。一个策略只能使用一个配置文件。
在会话配置文件中为用户连接配置网络设置
您可以使用会话配置文件中的“网络配置”选项卡为用户连接配置以下网络设置:
- DNS 服务器
- WINS 服务器 IP 地址
- 可用作内部网 IP 地址的映射 IP 地址
- 地址池的溢出设置(Intranet IP 地址)
- Intranet IP DNS 后缀
- HTTP 端口
- 强制超时设置
在会话配置文件中配置连接设置
您可以使用会话配置文件中的“客户体验”选项卡来配置以下连接设置:
- 访问界面或自定义主页
- 基于 Web 的电子邮件的 Web 地址,例如 Outlook Web Access
- 插件类型(适用于 Windows 的 Citrix Secure Access 客户端或适用于 macOS X 的 Citrix Secure Access 客户端)
- 拆分通道
- 会话和空闲超时设置
- 无客户端访问
- 无客户端访问 URL 编码
- 插件类型(Windows 或 Mac)
- 单点登录 Web 应用程序
- 身份验证的凭据索引
- 使用 Windows 进行单点登录
- 客户端清理行为
- 登录脚本
- 客户端调试设置
- 拆分 DNS
- 访问专用网络 IP 地址和本地局域网访问
- 客户选择
- 代理设置
有关配置用户连接设置的更多信息,请参阅为 Citrix Secure Access 客户端配置连接。
在会话配置文件中配置安全设置
您可以使用会话配置文件中的“安全”选项卡来配置以下安全设置:
- 默认授权操作(允许或拒绝)
- Secure Browse 来自 iOS 设备的连接
- 隔离组
- 授权组
有关在 NetScaler Gateway 上配置授权的详细信息,请参阅 配置授权。
在会话配置文件中配置 Citrix Virtual Apps and Desktops 设置
您可以使用会话配置文件中的“已发布应用程序”选项卡,为与运行 Citrix Virtual Apps and Desktops 的服务器的连接配置以下设置:
- ICA 代理,这是使用 Citrix Workspace 应用程序的客户端连接
- Web Interface 地址
- Web Interface 门户模式
- 单点登录到服务器场域
- Citrix Workspace 应用程序主页
- 帐户服务地址
有关配置用于连接到服务器场中已发布应用程序的设置的详细信息,请参阅 通过 Web Interface 提供对已发布应用程序和虚拟桌面的访问权限。
您可以独立于会话策略创建会话配置文件。创建策略时,您可以选择要附加到策略的配置文件。
使用 GUI 创建会话配置文件
- 在配置实用程序中,在配置选项卡的导航窗格中,展开 NetScaler Gateway > 策略,然后单击会话。
- 在详细信息窗格中,单击 配置文件 选项卡,然后单击 添加。
- 配置配置文件的设置,单击“创建”,然后单击“关闭”。
创建配置文件后,您可以将其包含在会话策略中。
使用 GUI 将配置文件添加到会话策略
- 在配置实用程序的导航窗格中,展开 Access Gateway > 策略,然后单击会话。
- 在“策略”选项卡上,执行以下任一操作:
- 单击添加以创建会话策略。
- 选择一个策略,然后单击 打开。
- 在请求配置文件中,从列表中选择一个配置文件。
- 完成会话策略的配置,然后执行以下操作之一:
- 单击 创建, 然后单击 关闭 以创建策略。
- 单击“确定”, 然后单击“关闭”以修改策略。