Gateway

配置授权策略

配置授权策略时,可以将其设置为允许或拒绝访问内部网络中的网络资源。例如,要允许用户访问 10.3.3.0 网络,请使用以下表达式:

CLIENT.IP.DST.IN_SUBNET(10.3.0.0/16)

授权策略适用于用户和组。对用户进行身份验证后,Citrix Gateway 通过从 RADIUS、LDAP 或 TACACS+ 服务器获取用户的组信息来执行组授权检查。如果用户可以使用组信息,Citrix Gateway 将检查允许用于该组的网络资源。

要控制用户可以访问哪些资源,必须创建授权策略。如果不需要创建授权策略,则可以配置默认的全局授权。

如果在授权策略中创建拒绝访问文件路径的表达式,则只能使用子目录路径,而不能使用根目录。例如,使用 fs.path 包含“\\dir1\\dir2”而不是 fs.path 包含“\\rootdir\\dir1\\dir2”。如果在本示例中使用第二个版本,则策略将失败。

配置授权策略后,然后将其绑定到用户或组,如下面的任务所示。

默认情况下,首先根据绑定到虚拟服务器的策略验证授权策略,然后针对全局绑定的策略进行验证。如果您全局绑定策略并希望全局策略优先于绑定到用户、组或虚拟服务器的策略,则可以更改策略的优先级编号。优先级编号从零开始。较低优先级的数字使策略的优先级越高。

例如,如果全局策略的优先级编号为 1,而用户的优先级为 2,则首先应用全局身份验证策略。

重要:

  • 传统授权策略仅适用于 TCP 流量。
  • 高级授权策略可应用于所有类型的流量(TCP/UDP/ICMP/DNS)。

    • To apply policy on UDP/ICMP/DNS traffic, policies must be bound at type UDP_REQUEST, ICMP_REQUEST, and DNS_REQUEST respectively.

    • While binding, if “type” is not explicitly mentioned or “type” is set to REQUEST, the behavior does not change from earlier builds, that is these policies are applied only to TCP traffic.
    • The policies bound at UDP_REQUEST do not apply for DNS traffic. For DNS, policies must be explicitly bound to DNS_REQUEST TCP_DNS is similar to other TCP requests.

有关高级授权策略的更多详细信息,请参阅文章https://support.citrix.com/article/CTX232237

授权策略表达式示例

以下是授权策略的表达式示例:

  • add authorization policy athzPol1 "HTTP.REQ.USER.IS_MEMBER_OF(\"allowedGroup\")" ALLOW

  • add authorization policy athzPol2 "CLIENT.IP.DST.BETWEEN(10.102.75.10,10.102.75.20)" DENY

  • add authorization policy athzPol3 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv") || CLIENT.IP.DST.IN_SUBNET(10.102.75.0/25)" ALLOW

使用 GUI 配置授权策略

  1. 导航到 Citrix Gateway > 策略 > 授权。
  2. 在详细信息窗格中,单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“操作”中,选择“允许”或“拒绝”。
  5. 在“表达式”中,单击“表达式编辑器”。
  6. 要开始配置表达式,请单击选 并选择必要的元素。
  7. 表达式完 后,单击“完成”。
  8. 单击创建

使用 GUI 将授权策略绑定到用户

  1. 导航到 Citrix Gateway > 用户管理。
  2. 单击 AAA 用户
  3. 在详细信息窗格中,选择一个用户,然后单击 编辑
  4. 高级设置中,单击 授权策略
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 优先级中,设置优先级编号。
  7. 类型中,选择请求类型,然后单击 确定

使用 GUI 将授权策略绑定到组

  1. 导航到 Citrix Gateway > 用户管理
  2. 单击 AAA 组
  3. 在详细信息窗格中,选择一个组,然后单击 编辑
  4. 高级设置中,单击 授权策略
  5. 策略绑定 页面中,选择策略或创建策略。
  6. 优先级中,设置优先级编号。
  7. 类型中,选择请求类型,然后单击 确定
配置授权策略