产品文档
Gateway
Current Release 13.1 13.0 12.1
查看 PDF

限制一个 Active Directory 组的成员访问 NetScaler Gateway

February 1, 2024
投稿者: 
C

NetScaler Gateway 支持两种限制登录访问权限的方法。

  • LDAP 搜索筛选器 — 只有与 LDAP 搜索筛选器匹配的用户名(例如,Active Directory 组成员身份)才能登录 NetScaler Gateway。
  • 允许在 NetScaler Gateway 会话策略或配置文件中登录的组 — 此方法支持多个 Active Directory 组。有关详细信息,请参阅https://support.citrix.com/article/CTX125797

本文介绍 LDAP 搜索筛选器方法。

概述

当用户在 NetScaler Gateway 虚拟服务器的登录页面上输入凭据并按 ENTER 键时,设备首先在 Active Directory (LDAP) 中搜索用户名。如果 LDAP 策略或服务器中未定义 LDAP 搜索筛选器,则设备将搜索所有 Active Directory 用户名以查找匹配项。找到匹配项后,设备随后会提取用户的完整唯一判别名 (DN),并使用用户的 DN 和密码对 Active Directory 进行身份验证。

如果定义了 LDAP 搜索筛选器,则只搜索与 LDAP 搜索筛选器匹配的用户名以查找匹配的用户名。例如,如果 LDAP 搜索筛选器构建为仅搜索 Active Directory 组的成员,则用户输入的用户名必须与该组的成员匹配。

必备条件

必须配置 NetScaler Gateway 虚拟服务器以进行 LDAP 身份验证。

为一个 Active Directory 组的成员配置 LDAP 搜索筛选器的步骤

  1. 确定具有访问权限的 Active Directory 组,并获取其完整的唯一判别名。

    获取组的完整唯一判别名称的一种简单方法是通过 Active Directory 用户和计算机。

  2. 在 Active Directory 用户和计算机中,从 查看 菜单中启用 高级功能

    启用高级功能

  3. 浏览树到组对象,右键单击,然后单击 属性注意: 您不能使用“查找”。相反,您必须在树中导航才能找到对象。

    设置属性

  4. 在右侧,切换到 属性编辑器 选项卡。

    切换到属性编辑器

    仅当启用了 高级功 能并且尚未使用 查找 功能时,此选项卡才可见。

  5. 向下滚动到 distinguishedName,双击,然后将其复制到剪贴板。

    复制唯一判别名

  6. 在 NetScaler Gateway GUI 中,导航到 NetScaler Gateway > 虚拟服务器
  7. 选择现有 NetScaler Gateway 虚拟服务器,然后单击 编辑
  8. 在“基本身份验证”部分中,单击 LDAP 策略

  9. 右键单击现有 LDAP 策略,然后单击 编辑服务器

    复制唯一判别名

  10. 在“其他设置”部分的“搜索筛选器”字段中,键入 memberOf= ,然后将 Active Directory 组的唯一判别名粘贴在等号 (=) 之后。

    输入唯一判别名

    以下是一个示例搜索筛选器: memberOf=CN=Citrix Remote,OU=Citrix,DC=corp,DC=local 注意: 默认情况下,NetScaler 仅搜索直接属于 Active Directory 组的用户名。如果要搜索嵌套组,请将 Microsoft OID። 添加到 LDAP 搜索筛选器中。OID 插入在 memberOf 和 = 之间。

    示例: memberOf:1.2.840.113556.1.4.1941:=CN=Citrix Remote,OU=Citrix,DC=corp,DC=local

  11. 单击确定
限制一个 Active Directory 组的成员访问 NetScaler Gateway
February 1, 2024
投稿者: 
C
February 1, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.