仅限一个Active Directory组的成员限制对NetScaler Gateway的访问

NetScaler Gateway支持两种限制登录访问的方法：

• LDAP搜索过滤器 – 只有与LDAP搜索过滤器匹配的用户（例如，Active Directory组成员身份）才能登录。
• 允许在NetScaler Gateway会话策略/配置文件中登录的组 – 此方法支持多个Active Directory组。

本文介绍LDAP搜索筛选器方法。

要求

LDAP搜索过滤器方法不需要任何其他NetScaler Gateway许可。注意：对于“允许登录的组”方法，NetScaler Gateway虚拟服务器必须处于SmartAccess模式（仅取消选中ICA），因此必须获得NetScaler Gateway Universal Licenses许可。NetScaler 11.1及更高版本的标准版及更高版本具有内置的NetScaler Gateway Universal Licenses。请参阅CTX125797 – 如何使用允许登录NetScaler功能的组限制Active Directory组用户。本文假定已经为LDAP身份验证配置了NetScaler Gateway Virtual Server。请参阅CTX108876 –  如何在NetScaler设备  上配置LDAP身份验证以在NetScaler设备上配置LDAP身份验证。

背景

当用户在NetScaler Gateway虚拟服务器的登录页面上键入凭据并按Enter键时，NetScaler首先在Active Directory（LDAP）中搜索输入的用户名。如果LDAP策略/服务器中未定义LDAP搜索过滤器，则NetScaler将搜索所有Active Directory用户名以查找匹配项。找到匹配后，NetScaler会提取用户的完整专有名称（DN），并使用用户的DN和密码对Active Directory进行身份验证。如果定义了LDAP搜索过滤器，则仅搜索与LDAP搜索过滤器匹配的用户名以查找用户名匹配。例如，如果将LDAP搜索过滤器构造为仅搜索Active Directory组的成员，则用户输入的用户名必须与该组的成员匹配。

要为一个Active Directory组的成员配置LDAP搜索筛选器，请执行以下过程：

1. 确定具有访问权限的Active Directory组，并获取其完整的专有名称。获取组的完整专有名称的简单方法是通过  Active Directory用户和计算机。
2. 在“ Active Directory用户和计算机”中，打开“  视图”  菜单，然后启用“  高级功能”。

3.将树浏览到组对象，右键单击它，然后单击“  属性”。
注意：您不能使用查找。相反，您必须在树中导航才能找到该对象。

4.在右侧，切换到“  属性编辑器”  选项卡。只有在启用了“ 高级功能”且未使用“ 查找”功能时，此选项卡才可见。

5.向下滚动到  distinguishedName，双击它，然后将其复制到剪贴板。

6.在NetScaler配置GUI的“ 配置”选项卡上，在左侧的菜单树中，转至NetScaler Gateway > 虚拟服务器。

7.在右窗格中，右键单击现有NetScaler Gateway虚拟服务器，然后单击“ 编辑”。

8.向下滚动到“ 基本身份验证”部分，然后单击“ #LDAP策略”所在的位置。

9.右键单击现有LDAP策略，然后单击“ 编辑服务器”。

10.向下滚动到“ 其他设置”部分。

11.在“  搜索过滤器”  字段中，键入  memberOf =  ，然后在等号后面粘贴Active Directory组的专有名称。不要担心空间。

搜索过滤器的示例如下：
memberOf = CN = Citrix Remote，OU = Citrix，DC = corp，DC = local

12.嵌套组 – 默认情况下，NetScaler仅搜索作为Active Directory组直接成员的用户名。如果要搜索嵌套组，请将Microsoft OID：1.2.840.113556.1.4.1941：添加到LDAP搜索筛选器。在memberOf和=之间插入OID，如下所示：
memberOf：1.2.840.113556.1.4.1941：= CN = Citrix Remote，OU = Citrix，DC = corp，DC = local

13.单击“ 确定”完成LDAP服务器的编辑。