产品文档
Gateway
Current Release 13.1 13.0 12.1
查看 PDF

配置 SmartControl

February 1, 2024
投稿者: 
C

SmartControl 允许管理员定义精细策略,以在 Citrix Gateway 上为 Citrix Virtual Apps and Desktops 配置和强制实施用户环境属性。SmartControl 允许管理员从单个位置管理这些策略,而不是在这些服务器类型的每个实例上管理这些策略。

SmartControl 是通过 Citrix Gateway 上的 ICA 策略实施的。每个 ICA 策略都是表达式和访问配置文件的组合,可应用于用户、组、虚拟服务器和全局。ICA 策略在用户在会话建立时进行身份验证后进行评估。

下表列出了 SmartControl 可以强制执行的用户环境属性:

| | | | ———————————————————————————— | ————————————————————————————————————————————— | | ConnectClient Drives | 指定用户登录时与客户端驱动器的默认连接。 |ConnectClientLPT 端口|指定用户登录时从客户端自动连接 LPT 端口。LPT 端口是本地打印机端口。| |客户端音频重定向|指定服务器上托管的应用程序以通过安装在客户端计算机上的声音设备传输音频。| |客户端剪贴板重定向|指定和配置客户端设备上的剪贴板访问权限,并在服务器上映射剪贴板。| |客户端comport/redirection|指定与客户端之间的 COM 端口重定向。COM 端口是通信端口。COM 端口是串行端口。| |客户端驱动器重定向|指定与客户端之间的驱动器重定向。| |多流|为指定用户指定多流要素。| |客户端USBDEVICE 重定向|指定 USB 设备与客户端之间的重定向(仅限工作站主机)。| |Localremotedata|为 Citrix Workspace 应用程序指定 HTML5 文件上传下载功能。| |客户端打印机重定向|指定用户登录会话时要映射到服务器的客户端打印机。| | 策略 | 操作 | 访问配置文件 | | 添加 | 编辑 | 删除 | | 显示绑定 | 策略管理器 | 操作 |

ICA 策略

ICA 策略指定操作、访问配置文件、表达式以及可选的日志操作。您可以在 ICA 策略选项卡中添加、编辑、删除、绑定策略以及查看策略绑定。

创建 ICA 策略

  1. 导航到 Citrix Gateway > 策略,然后单击 ICA

  2. 在详细信息窗格中,单击 ICA 策略选项卡,然后单击添加

  3. 名称中,键入策略的名称。

    策略名称

  4. 在 “操作” 旁边,执行以下操作之一:

    • 单击 ** 图标以选择现有操作。
    • 单击添加以创建操作。

  5. 创建一个表达式。

  6. 创建 日志操作。有关详细信息,请参阅 创建日志操作

  7. 在 “备注” 框中输入消息。注释会写入消息日志。此字段为可选字段。

  8. 单击创建

添加策略绑定

  1. 导航到 Citrix Gateway > 策略,然后单击 ICA

  2. 从列表中选择 ICA 策略,然后单击 策略管理器

  3. 绑定点中,选择以下策略之一。

    • 覆盖全局
    • VPN 虚拟服务器
    • 缓存重定向虚拟服务器
    • 默认全局

  4. 连接类型中,选择连接类型。

    注意: 如果选择 VPN 虚拟服务器缓存重定向虚拟服务器 绑定点,则可以使用菜单连接到服务器。

  5. 单击 继续

    ICA 策略配置页面

  6. 选择一个策略,然后单击 添加绑定

    • 单击 **>** 选择现有策略。
    • 单击 添加 以创建策略。

    重要:

    绑定策略并设置优先级后,一旦满足第一个匹配条件,则不会评估其余策略。默认情况下,Goto 表达式值设置为 END。

ICA 策略下一个绑定点

注意:

  • 要取消绑定策略,请选择该策略,然后单击 取消绑定 按钮。

  • 对于不需要绑定点的策略,请选择该策略,然后单击绑定 NOPOLICY

    绑定策略

在 “策略管理器” 选项卡中编辑绑定、策略或操作

您可以从 策略管理器 选项卡编辑绑定。

  1. 选择要编辑的策略,然后单击 策略管理器
  2. 单击继续
  3. 选择操作中,选择操作。您可以编辑绑定、策略或操作。
  4. 单击完成。

ICA 操作

操作将策略与访问配置文件关联起来。您可以在 ICA 操作选项卡中添加、编辑、删除或重命名 ICA 操作

添加 ICA 操作

  1. 导航到 Citrix Gateway > ICA

  2. 在详细信息窗格的 ICA 操作选项卡上,单击 添加

  3. 输入 ICA 操作的名称。

    添加 ICA 操作

  4. 单击 **>** 图标选择现有 ICA 访问配置文件,或单击添加以添加 ICA 访问配置文件。

  5. 单击 **>** 图标选择现有的 ICA 延迟配置文件,或单击添加以添加 ICA 延迟配置文件。

  6. 单击创建。

创建 ICA 操作后,您可以在 ICA 操作选项卡中编辑、删除或重命名该操作。

创建日志操作

  1. 在 “ 创建 ICA 策略 ” 页面中,单击 “ 日志操作 ” 旁边的 “ 添加”。

  2. 此时将显示 “ 创建审计消息操作 ” 页。

创建审计消息操作

  1. 输入审核消息的名称。审计消息只接受数字、字母或下划线字符。

  2. 日志级别中,选择审核日志级别。

       
    紧急 表示服务器立即出现危机的事件。
    警报 可能需要采取措施的事件。
    严重 表明即将发生服务器危机的事件。
    错误 指示某种类型错误的事件。
    警告 需要尽快采取行动的活动。
    注意 管理员必须知道的事件。
    参考信息 除了低级别的事件以外的所有
    调试 所有事件,都非常详细。

  3. 输入表达式。表达式定义日志的格式和内容。

  4. 选择 登录 newnslog 以将消息发送到新 nslog 文件。

  5. 单击创建。

访问配置文件

ICA 访问配置文件定义用户连接的设置。

访问配置文件指定在用户设备满足策略表达式条件时应用到用户的 Citrix Virtual Apps and Desktops 环境 ICA 的操作。您可以使用 GUI 独立于 ICA 策略创建 ICA 配置文件,然后将该配置文件用于多个策略。一个策略只能使用一个配置文件。

您可以独立于 ICA 策略创建访问配置文件。创建策略时,您可以选择要附加到策略的访问配置文件。访问配置文件指定用户可用的资源。您可以在 “访问配置文件” 选项卡中添加、编辑或删除 访问配置文件

表达式

以下表达式是典型的 ICA 表达式。对于 HTTP 表达式,请输入带有 “” 的名称,然后删除 ()。

|                                                                                      |                                                                                                                                         |
| ------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| ICA.SERVER.PORT                                                                      | This expression checks that the port specified matches the port number on the Citrix Virtual Apps and Desktops that the user is attempting to connect. |
| ICA.SERVER.IP                                                                        | This expression checks that the IP specified matches the IP address on the Citrix Virtual Apps and Desktops that the user is attempting to connect.    |
| `AAA.USER.IS_MEMBER_OF(“”)`.NOT                                                 | This expression checks that the current connection is accessed by a user that is NOT a member of the specified group name.                |
| AAA.USER.IS\_MEMBER\_OF\(“`group name`”)                                            | This expression checks that the user accessing the current connection is a member of the specified group.                               |
| AAA.USER.NAME.CONTAINS\(“”).NOT                                                   | This expression checks that the user accessing the current connection is NOT a member of the specified group.                           |
| AAA.USER.NAME.CONTAINS\(“enter `user name`”) Specifies the resources for a user name. | This expression checks that the current connection is accessed by the specified name.                                                     |
| CLIENT.IP.DST.EQ\(enter the IP address here).NOT                                          | This expression checks that the destination IP of the current traffic is NOT equal to the specified IP address.                         |
| CLIENT.IP.DST.EQ\(enter the IP address here)                                              | This expression checks that the destination IP of the current traffic is equal to the specified IP address.                             |
| CLIENT.TCP.DSTPORT.EQ \(enter port number).NOT                                        | This expression checks that the destination port is NOT equal to the specified port number.                                             |
| CLIENT.TCP.DSTPORT.EQ \(enter port number)                                            | This expression checks that the destination port is equal to the specified port number.                                                 |

可以单击 “ 创建 ICA 策略 ” 页中的 “ 表达式编辑器 ” 链接来创建表达式。

注: 要修改现有日志操作,请单击 “ 创建 ICA 策略 ” 页面中 日志操作 旁边的 编辑

配置身份验证前和身份验证后端点分析

您可以为身份验证前或身份验证后配置端点分析。

  • 对于身份验证后,您必须在一个或多个会话策略上配置端点分析表达式。要使用 SmartControl 配置身份验证后 EPA,请使用 VPN 会话操作中的 Smartgroup 参数。在 VPN 会话策略上配置了 EPA 表达式。您可以为智能组参数指定组名称。此组名可以是任意字符串。组名不必是活动目录中的现有组。

    使用表达式 HTTP.REQ.IS_MEMBER_Of (”groupname“) 配置 ICA 策略。使用之前为智能组指定的组名称。

  • 对于预身份验证,必须在预身份验证策略中配置端点分析表达式。要使用 SmartControl 配置预身份验证 EPA,请使用预身份验证配置文件中的默认 EPA 组参数。EPA 表达式在预身份验证策略中配置。您可以为默认 EPA 组参数指定组名称。此组名可以是任意字符串。组名不必是活动目录中的现有组。

    使用表达式 HTTP.REQ.IS_MEMBER_Of (”groupname“) 配置 ICA 策略,使用之前为默认 EPA 组指定的组名称。

身份验证后配置

使用以下过程为身份验证后配置设置智能组。

  1. 导航到 Citrix Gateway > 策略 > 会话

  2. 单击 “ 会话配置文件”,然后单击 “ 添加”。

  3. 选择安全选项卡。

    添加会话

  4. 输入您的 Citrix Gateway 配置文件的 名称 (操作)。

  5. 默认授权操作中,根据需要选择操作。

    指定用户登录内部网络时有权访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。如果将默认授权策略设置为 DENY,则必须明确授权访问任何网络资源,这样可以提高安全性。

  6. 安全浏览中,根据需要启用或禁用安全浏览。

    允许用户使用 Citrix Workspace 应用程序通过 Citrix Gateway 连接到来自 iOS 和 Android 移动设备的网络资源。用户无需建立完整的 VPN 隧道即可访问安全网络中的资源。

  7. Smartgroup 中,输入身份验证成功后必须选择的默认组名。

    这是与此会话操作关联的会话策略成功时用户所在的组。VPN 会话策略执行身份验证后 EPA 检查,如果检查成功,用户将被放置在由智能组指定的组中。然后可以将 is_member_OF (aaa.user.is_member_OF) 表达式与策略一起使用,以检查 EPA 是否已传递属于此智能组的用户。

  8. 单击创建。

  9. 单击 会话策略 ,然后单击 添加

  10. 入用户登录 Citrix Gateway 后应用的新会话策略的名称。

  11. 使用菜单选择 “ 配置文件 ” 操作。

    如果满足规则条件,则新会话策略应用的操作。

    注意: 如果必须创建所需的配置文件,请选择 +。有关详细信息,请参阅创建 Citrix Gateway 会话配置

  12. 表达式中,定义用于指定与策略匹配的流量的表达式。

    表达式的文字字符串的最大长度为 255 个字符。较长的字符串可以拆分为最多 255 个字符的较小字符串,较小的字符串可以用 + 运算符串联起来。例如,您可以创建一个 500 个字符的字符串,如下所示:’“” + “”’

    以下要求仅适用于 Citrix ADC CLI:

    • 如果表达式包含一个或多个空格,请用双引号将整个表达式括起来。
    • 如果表达式本身包含双引号,请使用字符对引号进行转义。* 或者,可以使用单引号将规则括起来,在这种情况下,不必对双引号进行转义。

    注意: Citrix ADC 13.1 及更高版本已弃用经典策略表达式。Citrix 建议您使用高级策略。有关详细信息,请参阅 高级策略

  13. 单击创建。

  14. 在 “ 会话策略 ” 页面上,选择会话策略,然后从 “ 选择操作 ” 菜单中单击 “ 全局绑定 ”。

  15. 选择策略中,单击 > 选择现有策略或添加新策略。

  16. 输入 优先级 ,然后单击 绑定

  17. 单击完成。

身份验证前配置

使用以下过程设置预身份验证配置。

  1. 转到 Citrix Gateway > 策略 > 预身份验证

  2. 选择 预身份验证配置文件 选项卡并选择 添加

    添加预验证配置文件

  3. 输入预身份验证操作的 名称

    名称必须以字母、数字或下划线字符 (_) 开头,并且只能由字母、数字和连字符 (-)、句点 (.) 磅 (#)、空格 ()、at (@)、等于 (=)、冒号 (:) 和下划线字符组成。创建预身份验证操作后无法更改。

    注意: 以下要求仅适用于 Citrix ADC CLI: 如果名称包含一个或多个空格,请用双引号或单引号将名称括起来。

  4. 操作中,选择当连接与策略匹配时策略将调用的请求操作。此选项可用于在端点分析 (EPA) 结果后允许或拒绝登录。

  5. 要取消的进程中,输入端点分析 (EPA) 工具必须终止的进程字符串。

  6. 要删除的文件中,输入指定端点分析 (EPA) 工具必须删除的文件的路径和名称的字符串。

  7. 默认 EPA 组中,输入 EPA 检查成功时必须选择的默认 EPA 组。

  8. 单击创建。

  9. 在 “ 预身份验证策略 ” 页面上,选择预身份验证策略,然后从 “ 选择操作 ” 菜单中单击 “ 全局绑定 ”。

  10. 选择策略中,单击 > 选择现有策略或添加新策略。

  11. 输入 优先级 ,然后单击 绑定

  12. 单击完成。

配置 SmartControl
February 1, 2024
投稿者: 
C
February 1, 2024
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.