来自 网络 2021-02-18 22:09 的文章

服务器防止ddos_香港_群英高防云

服务器防止ddos_香港_群英高防云

在本系列的第1部分中,我们讨论了在多域环境中为XenApp和XenDesktop配置NetScaler网关身份验证策略的不同选项。在本文中,我们将重点讨论NetScaler网关会话策略的多域配置选项。第1部分中提到的系列中没有涉及的主题列表同样适用于本文,防劫持高防云cdn,因此如果您还没有这样做,请花点时间阅读并熟悉本系列的第一篇文章。否则,我们开始吧。NetScaler网关会话策略既然我们已经介绍了身份验证选项,那么让我们讨论如何将不同的用户、用户组或域映射到不同(或相同)的店面商店。在NetScaler网关中,会话策略用于将用户定向到特定的店面商店。因为我们讨论的是不同的域,所以有不同的考虑因素,这取决于我们是否要为所有用户和域使用同一个店面商店,还是不同的店面商店。一般来说,为了简化管理,最好部署尽可能少的商店。因此,如果这些设置的要求跨域相同,则应配置单个存储。为不同的用户或域创建不同的店面商店的主要原因是每个域的以下要求不同:店面品牌工作区控件设置最佳网关路由(OGR)超时会话订阅是启用还是禁用身份验证要求(或者如果StoreFront必须将身份验证委托给XML,以便对每个域中的用户进行身份验证)其他高级设置在任何情况下,无论是单个存储还是多个存储,NetScaler网关会话策略都包括两个重要设置:"Web界面地址"设置,这是要将用户发送到的店面商店"单点登录(SSO)域"设置,用于告诉StoreFront要针对哪个域对用户进行身份验证。与NSG不同,StoreFront不在域列表中级联身份验证请求;因此,必须将用户域作为身份验证请求的一部分提供。在多域方案中配置网关会话策略有几个选项,具体取决于配置的是单个店面还是多个店面存储:会话策略单一店面店多家店面店单一会话策略选项1:LDAP配置文件SSO名称属性:userPrincipalName会话策略Web界面地址:会话策略单一登录域:空不适用(必须应用不同的"Web界面地址"值)多会话策略选项1:LDAP配置文件SSO名称属性:sAMAccountNameLDAP配置文件组属性:memberOfAAA组定义匹配会话策略单一登录域:绑定到AAA组的会话策略会话策略Web界面地址:会话策略Web界面地址:选项2:LDAP配置文件SSO名称属性:sAMAccountNameLDAP配置文件默认身份验证组:AAA组定义的匹配默认身份验证组会话策略Web界面地址:会话策略单一登录域:绑定到AAA组的会话策略会话策略Web界面地址:会话策略Web界面地址:药方选项3:LDAP配置文件SSO名称属性:userPrincipalName会话策略Web界面地址:会话策略单一登录域:空下面将更详细地探讨这些选项。单会话策略:对于所有用户只有一个店面存储,只要不指定SSO域,我们就可以在多域体系结构中为所有用户提供单一网关会话策略。这需要另一种通知StoreFront用户域的方法,这是通过在LDAP身份验证配置文件中传递UPN而不是sAMAccountName作为SSO Name属性来完成的。尽管此配置更简单,高防cdn怎么开启,防ddoscdn高防ip,因为它只需要一个会话策略,但它依赖于在activedirectory中正确配置upn。如果跨所有域的upn配置不正确,这是不可行的选择。此选项还需要将StoreFront中的域的FQDN添加为"受信任的域"(因此不仅是contoso,而且新的名称).多会话策略:如果不能选择将UPN用于StoreFront,则必须为每个域配置不同的会话策略,在会话策略中填充SSO域字段,并在LDAP配置文件中将sAMAccountName配置为SSO属性。会话策略名称中的SSO域必须与StoreFront Trusted Domains列表(如果配置)中配置的名称匹配。问题是我们如何将正确的域会话策略映射到用户?这可以通过将会话策略绑定到NetScaler中创建的不同AAA组来实现。两种方法是:AD组提取:此选项要求在AD中配置一个包含域中所有Citrix用户的安全组(例如"CitrixUsersDomainA"、"CitrixUsersDomainB"等)。此用户组名称在每个域中必须是唯一的。然后,通过在LDAP身份验证配置文件中添加适当的group属性,linux如何防御ddos,配置身份验证策略以执行组提取。可选地,可以将该组配置为搜索筛选器(使用CN表示法),以仅允许该组中的用户进行身份验证。最后,在NetScaler网关配置下,为每个域中为Citrix用户配置的每个AD组创建一个AAA组(AAA组名必须与AD中的组名完全匹配),然后将适当的域会话策略绑定到NetScaler中配置的相应域AAA组。一个重要的注意事项是,如本文所述,在AD中配置为主要组的组不用于组提取。因此,在大多数情况下,Domain Users组不能用作"Citrix Users"组下的嵌套组(更不用说域用户不能用作"Citrix Users"组,因为这将匹配所有域的AD组名)。因此,如果我们想为所有域用户提供访问权限,变异cc怎么防御,而我们没有包含所有Citrix用户的组,那么可以选择使用默认身份验证组。默认身份验证组:此选项允许将会话策略映射到可以在域内进行身份验证的任何用户,而不必定义自定义用户组。要进行配置,将在每个域的LDAP身份验证配置文件中添加标识域的默认身份验证组。此默认身份验证组只有NetScaler知道,不必存在于Active Directory中。用户使用该身份验证配置文件成功进行身份验证后,NetScaler会在用户会话期间将配置的默认身份验证组添加到该用户的用户组列表中。如前所述,AAA组将被配置为匹配默认身份验证组的名称,相应的会话策略将映射到每个AAA组。主要收获以下是讨论的会话策略选项的一些关键要点。为了简化多域环境的会话策略配置,可以将单个会话策略配置为将UPN属性传递给StoreFront而不是sAMAccountName。但是,此选项依赖于跨域正确配置upn。如果不能选择将UPN用于StoreFront,则可以根据AD组或用户验证所针对的域,将多个会话策略配置为不同的SSO域以传递到StoreFront。第二部分到此为止。在本系列的第3部分(即将发布),我们将介绍在多域环境中直接连接到StoreFront的配置选项。