Users_editLocalUser
要编辑用户属性,请导航至“用户 > 本地用户”窗口并单击想要对其设置进行配置的用户旁的“配置”图标。将显示“编辑用户设置”窗口。
“编辑本地用户”页面包含下表所列的若干选项卡:
|
如果用户通过外部验证服务器的验证,则不会显示“用户类型”和“密码”字段。验证服务器可对密码进行验证,因此密码字段无法配置。SRA 设备仅允许通过内部用户数据库验证的用户拥有管理权限,因此用户类型无法配置。此外,用户类型“外部”将用于识别为对应外部验证用户而自动创建的本地用户实例。
“编辑用户设置”窗口每个选项卡上配置选项的相关介绍,参考以下各部分:
• 修改全局用户设置
• 修改群组设置
• 修改入口设置
• 添加用户策略
• 配置登录策略
“全局”选项卡可提供用户密码、不活动超时值和书签单点登录 (SSO) 控制的配置选项。Table 21下表说明了每个应用程序是否支持 SSO、全局/群组/用户策略和书签策略的详细信息。
|
SRA 设备中的单点登录 (SSO) 可支持以下应用程序:
• RDP - Active X
• RDP - Java
• FTP
• HTTP
• HTTPS
• CIFS
Note SSO 不能与双因素认证方法一起使用。
要修改全局用户设置,请执行以下任务:
1. 在左侧列中,导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。将显示“编辑用户设置”窗口的“常规”选项卡。“常规”选项卡将显示以下无法配置的字段:“用户名”、“主要群组”、“所属域”和“用户类型”。如果这些字段中提供的信息需要修改,请按删除用户中的说明,先删除用户,然后再添加用户。
3. 要设置或更改用户密码,请在“密码”字段中键入密码。在“密码确认”字段再次键入密码。
4. 也可以强制本地用户数据库中的某一用户按照固定的时间间隔或在下次登录时更改密码。要强制用户按照固定的时间间隔更改密码,请在“密码将在 x 天后过期”字段中键入失效时间间隔。要强制用户在下次登录时更改密码,请勾选“下次登录时更改密码”复选框。
Note 可强制指定的本地域用户更改密码。使用“用户 > 本地用户 > 编辑”页面的“常规”选项卡。
5. 如果设置密码失效时间间隔,请在“密码过期 x 天前显示警告信息”字段中输入失效前几天用户将收到通知。
配置完成且密码将过期时,将在用户的“虚拟办公室”页面或管理员管理控制台显示通知,提示密码过期前剩余的天数。通知中还包含一个链接,可链接至更改密码屏幕。
6. 要为用户设置不活动超时(即在特定时间段后将注销他们在虚拟办公室的登录),请在“不活动超时”字段中输入允许的不活动分钟数。如果为用户配置了一次性密码,超时值还可控制一次性密码有效的分钟数。
可在用户、群组和全局级别设置不活动超时。如果为个人用户配置了一个或多个超时,用户超时设置将优先于群组超时,群组超时将优先于全局超时。将全局设置超时设为 0 表示将禁用未配置群组或用户超时的用户的不活动超时。
7. 要允许用户编辑或删除用户拥有的书签,请从“允许用户编辑/删除书签”下拉菜单中选择“允许”。要阻止用户编辑或删除用户拥有的书签,请选择“拒绝”。要使用群组策略,请选择“使用群组策略”。
Note 用户无法编辑或删除群组和全局书签。
8. 要允许用户添加新书签,请从“允许用户添加书签”下拉菜单中选择“允许”。要阻止用户添加新书签,请选择“拒绝”。要使用群组策略,请选择“使用群组策略”。
书签修改控件可提供对预先确定的源进行的自定义访问,还可防止用户出现需要支持的情况。
9. 在“单点登录设置”中,从“自动登录到书签”下拉菜单中选择以下一个选项:
– 使用组设置:选择此选项,使用群组策略设置控制书签的单点登录 (SSO)。
– 用户控制:选择该选项,用户可以启用或禁用书签的单点登录 (SSO)。
– 启用:选择此选项,启用书签的单点登录。
– 禁用:选择此选项,禁用书签的单点登录。
Note SSO 修改控件可增强安全性,还可以阻止或允许用户使用不同登录凭据。启用 SSO 后,将向后台服务器提供用户的登录名和密码,用于多项服务。对于文件共享,设备上用户所属的域名将传递给服务器。对于其他服务,服务器可能要求用户名前加上域名作为前缀。在此情况下,SSO 将失效,用户必须使用带有域名前缀的用户名登录。在某些情况下,可在服务器上配置默认域名以允许成功使用 SSO。
10. 单击“接受”保存配置更改。
在“群组”选项卡中,您可以为用户添加群组成员、配置主要群组并控制用户登录时是否自动分配群组。
登录活动目录、LDAP 和 RADIUS 域的用户将根据其外部 AD 群组成员、LDAP 属性或 RADIUS 过滤器 ID,实时自动分配到 SRA 群组。
Note 如果用户的外部群组成员身份发生改变,其 SRA 群组成员身份也自动改变,以匹配外部群组成员身份。
要配置“群组”选项卡上的设置,请执行以下步骤:
1. 要将某个群组设置为主要群组,请单击您希望设为主要群组的群组对应的“设置为主要群组”星形图标。
2. 要添加用户将成为其中一员的群组,请单击“添加群组”。必须已在“用户 > 本地群组”中对群组进行配置。
3. 从下拉列表中选择所需群组。
4. 勾选“创建主要群组”复选框,将该群组创建为主要用户群组成员。
5. 单击“添加群组”,将选择的群组添加至“群组成员”列表。
6. 在“群组设置”中,从“在登录时自动分配群组”下拉列表中选择以下一个选项:
• 使用组设置 — 使用为群组配置的设置。
• 启用 — 启用登录时将用户自动分配至群组。
• 禁用 — 禁用登录时将用户自动分配至群组。
7. 单击“接受”。
“入口”选项卡可为该用户提供入口设置的配置选项。
要为该用户配置入口设置,请执行以下步骤:
1. 在“入口设置”的“入口”选项卡中,选择该用户入口设置中以下一个选项:
• “使用组设置”— 在该用户所属的群组中定义的设置将用于确定是否启用入口功能。通过在“用户 > 本地群组”页面中配置群组的方式定义群组设置。
• “启用”— 为该用户启用该入口功能。
• “禁用”— 为该用户禁用该入口功能。
您可以为以下各个入口功能配置上述任一设置:
• NetExtender — 因为 Mobile Connect 连接至设备时作为 NetExtender 客户端,所以该设置在 NetExtender 和 Mobile Connect 上均适用。
• 在登录后启动 NetExtender
• 文件共享
• 虚拟助手技术员
• 虚拟助手请求帮助
• 虚拟助手设置链接
• 允许用户添加书签
• “允许用户编辑/删除书签”— 仅适用于用户拥有的书签。
2. 单击“接受”。
该功能适用于外部用户,登录时,外部用户将从为其分配的群组中继承设置。可以为用户指定 NetExtender 客户端设置,或使用群组设置。有关配置群组设置的信息,请参考编辑群组设置。
要为用户启用 NetExtender 范围并配置 DNS 和客户端设置,请执行以下步骤:
1. 导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。
3. 在“编辑本地用户”页面中,选择“NxSettings”选项卡。
4. 在“客户端地址范围起始”字段中输入起始 IPv4 地址。
5. 在“客户端地址范围结束”字段中输入结束 IPv4 地址。
6. 在“客户端 IPv6 地址范围起始”字段中输入起始 IPv6 地址。
7. 在“客户端 IPv6 地址范围结束”字段中输入结束 IPv6 地址。
8. 在“NetExtender DNS 设置”的“主要 DNS 服务器”字段中键入主要 DNS 服务器的地址。
9. 或者在“次要 DNS 服务器”字段中输入次要服务器的 IP 地址。
10. 在“DNS 域”字段中键入 DNS 域后缀。
对于使用 Dell SonicWALL Mobile Connect 支持 Apple iPhone、iPad 或其他 iOS 设备连接的 SRA 设备,“DNS 域”为必填字段。设备与设备连接后,可在 iPhone/iPad 的 VPN 接口上设置该 DNS 域。移动设备用户访问 URL 时,iOS 可确定域是否与 VPN 接口的域匹配,如果匹配,则使用 VPN 接口的 DNS 服务器解析主机名查询。否则将使用 Wi-Fi 或 3G DNS 服务器,此服务器无法解析公司内部网中的主机。
11. 在“NetExtender 客户端设置”中,从“断开连接后退出客户端”下拉列表中选择以下一个选项:
• 使用组设置 — 采取群组设置指定的操作。请参考编辑群组设置。
• 启用 — 为用户启用该操作。覆盖群组设置。
• 禁用 — 为群组的所有成员禁用该操作。覆盖全局设置。
12. 在“退出后卸载客户端”下拉列表中,选择以下一个选项:
• 使用组设置 — 采取群组设置指定的操作。请参考编辑群组设置。
• 启用 — 为用户启用该操作。覆盖群组设置。
• 禁用 — 为群组的所有成员禁用该操作。覆盖全局设置。
13. 在“创建客户端连接配置文件”下拉列表中,选择以下一个选项:
• 使用组设置 — 采取群组设置指定的操作。请参考编辑群组设置。
• 启用 — 为用户启用该操作。覆盖群组设置。
• 禁用 — 为群组的所有成员禁用该操作。覆盖全局设置。
14. 在“用户名和密码缓存”下拉列表中,选择以下一个选项:
• 使用组设置 — 采取群组设置指定的操作。请参考编辑群组设置。
• 仅允许保存用户名 — 允许缓存用户名。启动 NetExtender 时,用户仅需要输入密码。覆盖群组设置。
• 允许保存用户名和密码 — 允许缓存用户名和密码。启动 NetExtender 时,用户将自动登录。覆盖群组设置。
• 禁止保存用户名和密码 — 不允许缓存用户名和密码。启动 NetExtender 时,用户需要输入用户名和密码。覆盖群组设置。
15. 单击“接受”。
“Nx 路由”选项卡可提供 NetExtender 客户端路由的配置选项。修改 NetExtender 客户端路由设置的步骤,请参考 NetExtender > 客户端路由。
“策略”选项卡可提供策略配置选项。
Note 用户策略是优先级最高的策略,在群组策略或全局策略之前强制执行。
要添加用户访问策略,请执行以下步骤:
1. 在“策略”选项卡上,单击“添加策略”。将显示“添加策略”窗口。
在“应用策略到”下拉列表中,选择策略将应用到单个主机、某个范围内的地址、所有地址、网络对象、服务器路径还是 URL 对象。您还可以选择单个 IPv6 主机、某个范围的 IPv6 地址或所有 IPv6 地址。“添加策略”窗口将根据您在“应用策略到”下拉列表中选择的对象类型而变化。
Note 这些 SRA 策略适用于 SRA 连接的目的地址,而非源地址。您无法用“策略”选项卡中创建的策略允许或阻止 Internet 上的特定 IP 地址通过 SRA 网关的验证。然而,可以借助在用户的“登录策略”选项卡中创建的登录策略,控制通过 IP 地址的源登录。更多信息,请参考配置登录策略。
• IP 地址 — 如果您的策略适用于特定主机,请在“IP 地址”字段中输入本地主机的 IP 地址。或者,您也可以选择在“端口范围/端口号”字段中输入端口范围(如 4100-4200)或单个端口号。请参考为 IP 地址添加策略。
• IP 地址范围 — 如果您的策略适用于一系列地址,请在“IP 网络地址”字段中输入起始 IP 地址,在“子网掩码”字段中输入定义 IP 地址范围的子网掩码。或者,您也可以选择在“端口范围/端口号”字段中输入端口范围(如 4100-4200)或单个端口号。请参考为 IP 地址范围添加策略。
• 所有地址 — 如果您的策略适用于所有 IPv4 地址,则无需输入任何 IP 地址信息。请参考为所有地址添加策略。
• 网络对象 — 如果您的策略适用于预定义的网络对象,请从“网络对象”下拉列表中选择对象的名称。定义网络对象时,可指定端口或端口范围。请参考添加网络对象。
• 服务器路径 — 如果您的策略适用于服务器路径,请在“资源”字段中选择以下一个单选按钮:
– 共享(服务器路径)— 选择该选项时,请在“服务器路径”字段中键入路径。
– 网络(域列表)
– 服务器(计算机列表)
请参考设置文件共享访问策略。
• URL 对象 — 如果您的策略适用于预定义的 URL 对象,请在“URL”字段中键入 URL。请参考为 URL 对象添加策略。
• IPv6 地址 — 如果您的策略适用于特定主机,请在“IPv6 地址”字段中输入本地主机的 IPv6 地址。或者,您也可以选择在“端口范围/端口号”字段中输入端口范围(如 4100-4200)或单个端口号。请参考为 IPv6 地址添加策略。
• IPv6 地址范围 — 如果您的策略适用于某个地址范围,请在“IPv6 网络地址”字段中输入起始 IPv6 地址,在“IPv6 前缀”字段中输入定义 IPv6 地址范围的前缀。或者,您也可以选择在“端口范围/端口号”字段中输入端口范围(如 4100-4200)或单个端口号。请参考为 IPv6 地址范围添加策略。
• 所有 IPv6 地址 — 如果您的策略适用于所有 IPv6 地址,则无需输入任何 IP 地址信息。请参考为所有 IPv6 地址添加策略。
3. 在“服务”下拉列表中选择服务类型。如果您将策略应用到网络对象,则服务类型在网络对象中进行定义。
4. 从“状态”下拉列表中选择“允许”或“拒绝”,即可允许或拒绝特定服务和主机的 SRA 连接。
Tip 使用 Citrix 书签时,为了限制代理服务器访问主机,必须为 Citrix 和 HTTP 服务配置“拒绝”规则。
5. 单击“接受”即可更新配置。更新配置后,“编辑本地用户”页面会显示新策略。
用户策略将按优先级顺序,从最高优先级到最低优先级显示在“当前用户策略”表中。
1. 导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。
3. 选择“策略”选项卡。
4. 单击“添加策略...”
5. 在“应用策略到”字段中,单击“IP 地址”选项。
在“策略名称”字段中定义策略的名称。
7. 在“IP 地址”字段中键入 IP 地址。
8. 在“端口范围/端口号”字段中,选择性地输入端口范围或单个端口。
9. 在“服务”下拉列表中,单击一个服务对象。
10. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
11. 单击“接受”。
1. 在“应用策略到”字段中,单击“IP 地址范围”选项。
在“策略名称”字段中定义策略的名称。
3. 在“IP 网络地址”字段中键入起始 IP 地址。
4. 在“子网掩码”字段中键入子网掩码值,格式为 255.255.255.0。
5. 在“端口范围/端口号”字段中,选择性地输入端口范围或单个端口。
6. 在“服务”下拉列表中,单击一个服务选项。
7. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
8. 单击“接受”。
1. 在“应用策略到”字段中,选择“所有地址”选项。
在“策略名称”字段中定义策略的名称。
3. “IP 地址范围”字段为只读字段,用来指定“所有 IP 地址”。
4. 在“服务”下拉列表中,单击一个服务选项。
5. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
6. 单击“接受”。
要设置文件共享访问策略,请执行以下步骤:
1. 导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。
3. 选择“策略”选项卡。
4. 单击“添加策略”。
5. 从“应用策略到”下拉列表中选择“服务器路径”。
在“策略名称”字段中键入策略的名称。
7. 在“资源”字段中选择“共享”单选按钮。
8. 在“服务器路径”字段中键入服务器路径。
9. 从“状态”下拉列表中,选择“允许”或“拒绝”。
Note 限制服务器路径访问等有关编辑文件共享策略的信息,请参考为文件共享添加策略。
10. 单击“接受”。
要添加文件共享访问策略,请执行以下步骤:
1. 导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。
3. 选择“策略”选项卡。
4. 单击“添加策略...”。
5. 从“应用策略到”下拉列表中选择“服务器路径”。
6. 在“策略名称”字段中键入策略的名称。
7. 在“服务器路径”字段中,按照 servername/share/path 或 ervername\share\path 的格式输入服务器路径。可接受的前缀有 \\、//、\ 和 /。
Note 共享和路径可通过策略进行更加精细的控制。这两项均属可选项。
8. 从“状态”下拉列表中选择“允许”或“拒绝”。
9. 单击“接受”。
要创建基于对象的 HTTP 或 HTTPS 用户策略,请执行以下步骤:
1. 导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。
3. 选择“策略”选项卡。
4. 单击“添加策略”。
5. 在“应用策略到”下拉菜单中,选择“URL 对象”选项。
6. 在“策略名称”字段中定义策略的名称。
7. 在“服务”下拉列表中,选择“Web (HTTP)”或“安全 Web (HTTPS)”。
8. 在“URL”字段中,添加要在该策略中执行的 URL 字符串。
Note 除标准的 URL 元素外,管理员还可在 URL 字段中输入端口、路径和通配符元素。
有关使用其他元素的更多信息,请参考策略 URL 对象字段元素。
如果指定了路径,URL 策略为递归策略,适用于所有子目录。例如,如果指定“www.mycompany.com/users/*”,则允许用户访问“www.mycompany.com/users/”
文件夹下的任何文件夹或文件。
9. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
10. 单击“接受”。
创建 HTTP/HTTPS 策略时,管理员必须在 URL 字段中输入有效的主机 URL。此外,管理员还可在该字段中输入端口、路径和通配符元素。下表将介绍标准 URL 字段元素的总体情况:
|
Note URL 字段中的条目不得包含 (“http://”, “https://”) 元素。条目中也不得包含“#”等片段分隔符。
要为 IPv6 地址添加策略,请执行以下步骤:
1. 导航至“用户 > 本地用户”。
2. 单击您想要配置的用户旁的配置图标。
3. 选择“策略”选项卡。
4. 单击“添加策略...”。
5. 在“应用策略到”字段中,单击“IPv6 地址”选项。
在“策略名称”字段中定义策略的名称。
7. 在“IPv6 地址”字段中键入 IPv6 地址,格式为 2001::1:2:3:4。
8. 在“端口范围/端口号”字段中,选择性地输入端口范围或单个端口。
9. 在“服务”下拉列表中,单击一个服务对象。
10. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
11. 单击“接受”。
要为 IPv6 地址范围添加策略,请执行以下步骤:
1. 在“应用策略到”字段中,单击“IPv6 地址范围”选项。
在“策略名称”字段中定义策略的名称。
3. 在“IPv6 网络地址”字段中键入起始 IPv6 地址。
4. 在“IPv6 前缀”字段中键入前缀值,如 64 或 112。
5. 在“端口范围/端口号”字段中,选择性地输入端口范围或单个端口。
6. 在“服务”下拉列表中,单击一个服务选项。
7. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
8. 单击“接受”。
要为所有 IPv6 地址添加策略,请执行以下步骤:
1. 在“应用策略到”字段中,选择“所有 IPv6 地址”选项。
在“策略名称”字段中定义策略的名称。
3. “IPv6 地址范围”字段为只读字段,指定所有 IPv6 地址。
4. 在“服务”下拉列表中,单击一个服务选项。
5. 在“状态”下拉列表中,单击“允许”或“拒绝”访问操作。
6. 单击“接受”。
“书签”选项卡可提供添加和编辑用户书签的配置选项。除了以下的主要步骤外,请参考下列内容:
• 请参考为本地用户创建 Citrix 书签
• 请参考使用自定义 SSO 凭证创建书签
要定义用户书签,请执行以下步骤:
1. 在“编辑用户设置”窗口,单击“书签”选项卡。
单击“添加书签”。将显示“添加书签”窗口。
定义用户书签后,用户将在 SRA 虚拟办公室主页上看到定义的书签。
1. 在“书签名称”字段中为书签键入一个描述性名称。
2. 在“名称或 IP 地址”字段中,输入有效的域名 (FQDN) 或 LAN 中一个主机的 IPv4 或 IPv6 地址。有些环境中,您可以只输入主机名,例如在 Windows 本地网络中创建 VNC 书签时。
如果“名称或 IP 地址”字段中的 IPv6 地址中包含端口号,则 IPv6 地址必须括在方括号中,例如:[2008::1:2:3:4]:6818。
Note ActiveX 或文件共享不支持 IPv6。
一些服务可以在非标准端口上运行,而一些服务在连接时需要路径。根据“服务”字段中的选择,按Table 22以下表格中的示例之一,确定“名称或 IP 地址”字段的格式。
Table 22 按服务类型分类的书签名称或 IP 地址格式
|
Tip 在创建指向 Linux 服务器的“虚拟网络计算机 (VNC)”书签时,除了 Linux 服务器 IP 外,您还必须在“名称或 IP 地址”字段中以“IP 地址:端口:服务器”格式指定端口号和服务器号。例如,如果 Linux 服务器 IP 地址为 192.168.2.2,端口号为 5901,服务器号为 1,则“名称或 IP 地址”字段的值将为“192.168.2.2:5901:1”。
3. 您也可以在“描述”字段中输入易懂的描述,该描述内容将在书签表格中显示。
4. 可以通过选择“允许用户编辑/删除”,设置用户是否可以编辑或删除虚拟办公室入口的书签。您可以选择“允许”、“拒绝”或“使用用户策略”设置。
5. 从“服务”下拉列表中选择一种服务类型。
针对您从“服务”下拉列表中选择的特定服务,可能会出现其他字段。使用已选服务的下列信息,完成书签的建立:
终端服务(RDP - ActiveX) 或终端服务(RDP - Java)
Note 如果您使用“终端服务(RDP - ActiveX)”服务类型创建书签,当您使用 Internet Explorer 以外的浏览器时单击该书签,服务将自动切换至“终端服务(RDP - Java)”。将弹出一个窗口,对切换进行提示。
– 在“屏幕大小”下拉列表中,选择用户执行此书签时使用的默认终端服务屏幕尺寸。
由于不同的计算机支持不同的屏幕尺寸,当您使用远程桌面应用程序时,您应选择运行远程桌面会话的计算机的屏幕尺寸。另外,您可能希望通过在“应用程序路径”字段中键入路径的方式为您的应用程序在远程计算机上驻留的位置提供一个路径。
– 在“颜色”下拉列表中,选择用户执行此书签时终端服务屏幕的默认色深。
– 或者,您也可以选择在“应用程序和路径(可选)”字段中输入该应用程序的本地路径。
– 您还可以选择在“在下列文件夹开始”字段中输入要在其中执行应用程序命令的本地文件夹。
– 勾选“控制台/管理会话登录”复选框,以允许作为控制台或管理员登录。在 RDC 6.1 及更高版本中,作为管理员登录将取代作为控制台登录。
– 勾选“启用 wake-on-LAN”复选框,以启用通过网络连接唤醒计算机。勾选此复选框后,将出现以下新字段:
• MAC/Ethernet 地址 — 输入要唤醒的目标主机的一个或多个 MAC 地址(用空格分开)。
• 等待重启时间(秒) — 输入取消 WOL 操作前,等待目标主机完全重启的秒数。
• 发送 WOL 数据包到主机名称或者 IP 地址 — 要将 WoL 数据包发送至该书签的主机名或 IP,请勾选“发送 WOL 数据包到主机名称或者 IP 地址”复选框,该选项可与要唤醒的另一台计算机的 MAC 地址一同应用。
– 对于“RDP - Java”书签的终端服务器 Farm 或负载均衡支持,请勾选“服务器是 TS Farm”复选框,以启用正确的连接。注意,仅纯 Java RDP 客户端支持该功能,而且在此模式下,一些高级选项将无法使用。
– 对于“RDP - Java”书签,请勾选“强制 Java 客户端使用”复选框,以强制使用 Java RDP 客户端,而不是本地安装的 RDP 客户端(如果存在)。如果选择此选项,将不支持任何 Windows 高级选项。
– 对于 Windows 客户端或运行 Mac OS X 10.5 或更高版本且安装 RDC 的 Mac 客户端,请展开“显示高级 Windows 选项”并勾选以下任意重定向选项的复选框:“重定向打印机”、“重定向驱动”、“重定向端口”、“重定向 SmartCards”、“重定向剪贴板”或“重定向即插即用设备”,以重定向本地网络上用于该书签会话的这些设备或功能。您可以将您的鼠标指针悬停在特定选项旁的“帮助”图标 
上方,以显示暗含要求的工具提示。
要使本地打印机显示在您的远程计算机上(开始 > 设置 > 控制面板 > 打印机和传真),请选择“重定向端口”和“重定向打印机”。
选中以下任意附加功能的复选框,用于本书签会话:“显示连接工具栏”、“自动重连”、“桌面背景”、“位图缓存”、“菜单/窗口动画”、“可视类型”或“当缩减时显示窗口
内容”。
在“远程音频”下拉列表中,选择“在这台计算机上播放”、“在远程计算机上播放”或“不要播放”。
如果将使用 RDP 6 (Java) 客户端应用程序,您也可选择以下任意选项:“双重监测”、“字体平滑”、“桌面合成”或“远程应用程序”。
“远程应用程序”可对服务器和客户端的连接活动进行监测;要使用该选项,您需要在 Windows 2008 RemoteApp 列表中注册远程应用程序。如果选择“远程应用程序”,Java 控制台将显示与终端服务器的连接情况有关的消息。
– 您也可以选择“自动登录”并选择“使用 SSL-VPN 账户登录凭据”,以便将凭据从当前登录的 SRA 会话转发,供登录至 RDP 服务器使用。选择“使用自定义登录凭据”,输入此书签的自定义用户名、密码和域。有关自定义登录凭据的更多信息,请参考使用自定义 SSO 凭证创建书签。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
虚拟网络计算机 (VNC)
– 在“编码”下拉列表中选择其中一项:
– 原始 — 像素数据按照从左至右的扫描线顺序发送,只有发生变化的矩形在原始全屏传输后发送。
– RRE — Rise-and-Run-length-Encoding 使用一系列相同的像素,这些像素被压缩为单个值并重复计数。对于大块的常量色彩而言,这是一种高效的编码方式。
– CoRRE — RRE 的变体,最大可使用 255x255 的像素矩形,允许使用单字节值。除了非常大的区域为相同颜色的情况外,比 RRE 的效率更高。
– Hextile — 矩形被分割为 16x16 的原始或 RRE 数据块,并按照预先确定的顺序发送。在 LAN 等高速网络环境中使用,效果最佳。
– Zlib — 一种使用 zlib 库压缩原始像素数据的简单编码方式,消耗大量CPU时间。该编码方式可兼容无法解析的 Tight 编码(在几乎所有的实际应用情况下,这种编码方式的效率都要比 Zlib 更高)的 VNC 服务器。
– Tight — 通过 Internet 或其他低带宽网络环境使用 VNC 时使用的默认编码方式,也是最佳的编码方式。使用 zlib 库压缩预处理的像素数据,以达到最大的压缩率,并在最大程度上降低 CPU 使用率。
– 在“压缩层次”下拉列表中,选择“默认”压缩层次或在“1”至“9”之间进行选择,其中“1”表示最低压缩率,“9”表示高度压缩。
– “JPEG 图片质量”选项不可编辑,设置为“6”。
– 在“指针形状更新”下拉列表中,选择“启用”、“忽略”或“禁用”。默认为“忽略”。
– 选择“使用 CopyRect”以提高在屏幕上移动项目的效率。
– 选择“限制颜色(256 颜色)”通过稍微降低色深提高效率。
– 选择“反向鼠标按钮 2 和 3”,以便切换右键单击和左键单击按钮。
– 如果用户不会在远程系统上进行任何更改,请选择“仅浏览”。
– 选择“共享桌面”,以便允许多名用户查看并使用同一个 VNC 桌面。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
Citrix 入口 (Citrix)
– 在“资源窗口大小”下拉列表中,选择用户执行此书签时将使用的默认 Citrix 入口屏幕尺寸。
– 您也可选择“HTTPS 模式”,以便使用 HTTPS,安全访问 Citrix 入口。
– 您也可在使用 Internet Explorer 时,选择“在 IE 浏览器中总是使用 Java”,以便使用 Java 访问 Citrix 入口。如果未进行此设置,Citrix ActiveX 客户端或插件必须与 IE 一起使用。进行该设置后,用户无需安装专门针对 IE 浏览器的 Citrix 客户端或插件。在其他浏览器上,Java 默认与 Citrix 配套使用,也可与 IE 配套使用。启用此复选框就可利用此可移植性。
– 您也可以选择“总是使用指定的 Citrix ICA 服务器”,并在出现的“ICA 服务器地址”字段中指定 IP 地址。该设置允许您为 Citrix ICA 会话指定 Citrix ICA 服务器地址。默认情况下,书签使用 Citrix 服务器上的 ICA 配置中提供的信息。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
Web (HTTP)
– 您也可选择“自动登录”并选择“使用 SSL-VPN 帐户登录凭据”,将凭据从当前的 SRA 会话转发,供登录 Web 服务器使用。选择“使用自定义登录凭据”,输入此书签的自定义用户名、密码和域。有关自定义登录凭据的更多信息,请参考使用自定义 SSO 凭证创建书签。
选择“基于表单的验证”复选框,配置基于表单的验证的单点登录。将“用户表单字段”配置为与 HTML 元素(在登录表单中表示用户名)的“名称”和“ID”属性相同,例如:<input type=text name=’userid’>。将“密码表单字段”配置为与 HTML 元素(在登录表单中表示密码)的“名称”和“ID”属性相同,例如:<input type=password name=’PASSWORD’ id=’PASSWORD’ maxlength=128>。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
安全 Web (HTTPS)
– 您也可以选择“自动登录”并选择“使用 SSL-VPN 帐户登录凭据”,以便将凭据从当前的 SRA 登录会话转发,供登录给 Web 服务器使用。选择“使用自定义登录凭据”,输入此书签的自定义用户名、密码和域。有关自定义登录凭据的更多信息,请参考使用自定义 SSO 凭证创建书签。
选择“基于表单的验证”复选框,配置基于表单的验证的单点登录。将“用户表单字段”配置为与 HTML 元素(在登录表单中表示用户名)的“名称”和“ID”属性相同,例如:<input type=text name=’userid’>。将“密码表单字段”配置为与 HTML 元素(在登录表单中表示密码)的“名称”和“ID”属性相同,例如:<input type=password name=’PASSWORD’ id=’PASSWORD’ maxlength=128>。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
– 勾选“HTTPS 模式”复选框,以便使用 SSL 对与该 Web 站点进行的通信加密。
– 访问此 Web 站点时,如果您不想看见任何安全警告信息,请勾选“禁用安全警告”复选框。该书签为应用程序分载 Web 站点以外的任何信息时,正常情况下都会显示安全警告。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
Mobile Connect
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
文件共享 (CIFS)
– 要允许用户使用模仿 Windows 功能的文件共享 Java Applet,请勾选“使用文件共享 Java Applet”复选框。
– 您也可以选择“自动登录”并选择“使用 SSL-VPN 账户登录凭据”,以便将凭据从当前登录的 SRA 会话转发,供登录至 RDP 服务器使用。选择“使用自定义登录凭据”,输入此书签的自定义用户名、密码和域。有关自定义登录凭据的更多信息,请参考使用自定义 SSO 凭证创建书签。
创建文件共享时,不要在 Windows Domain Root 系统上配置分布式文件系统 (DFS) 服务器。因为 Domain Root 只允许访问域中的 Windows 计算机,这样做将禁止从其他域访问 DFS 文件共享。SRA 设备不是域成员,不能连接到 DFS 共享。
独立根上的 DFS 文件共享不受此 Microsoft 限制影响。
文件传输协议 (FTP)
– 要在“字符编码”下拉列表中选择一个替代值,请展开“显示高级服务器配置”。默认值为“标准(UTF-8)”。
– 您也可以选择“自动登录”并选择“使用 SSL-VPN 帐户登录凭据”,以便将凭据从当前的 SRA 登录会话转发,供登录 FTP 服务器使用。选择“使用自定义登录凭据”,输入此书签的自定义用户名、密码和域。有关自定义登录凭据的更多信息,请参考使用自定义 SSO 凭证创建书签。
Telnet
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
安全 Shell 版本 1 (SSHv1)
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
安全 Shell 版本 2 (SSHv2)
– 可勾选“自动接受主机密钥”复选框。
– 如果使用无验证功能的 SSHv2 服务器,如 Dell SonicWALL 防火墙,您可以勾选“忽略用户名”复选框。
– 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
6. 单击“接受”即可更新配置。配置更新后,将在“编辑本地用户”窗口显示新用户书签。
Citrix 支持要求 Internet 连接,以便从 Citrix Web 站点下载 ActiveX 或 Java 客户端。默认情况下,使用 ActiveX 从 Internet Explorer 或使用 Java 的其他浏览器访问 Citrix。选择书签配置中的一个选项,Java 便可与 IE 配套使用。服务器将自动决定要使用的 Citrix 客户端版本。对于需要 Java 来运行 Citrix 的浏览器,您必须安装 Sun Java 1.6.0_10 或更高版本。
使用 Java 小程序时,可在 Citrix 客户端使用本地打印机。但在某些情况下,可能需要将通用打印机驱动程序更改为 PCL 模式。
要为用户配置 Citrix 书签,请执行以下任务:
1. 导航至“用户 > 本地用户”并单击用户旁的配置图标。
2. 在“编辑本地用户”页面中,选择“书签”选项卡。
3. 单击“添加书签...”
4. 在“书签名称”字段中为书签输入名称。
5. 在“名称或 IP 地址”字段中输入书签的名称或 IP 地址。
Note HTTPS、HTTP、Citrix、SSHv2、SSHv1、Telnet 和 VNC 都将采用端口选项:portnum。HTTP、HTTPS 和文件共享也可将路径指定为目录或文件。
6. 从“服务”下拉列表中,选择“Citrix 入口 (Citrix)”。显示屏将发生变化。
7. 勾选“HTTPS 模式”旁的方框,启用 HTTPS 模式。
8. 或者,您也可以勾选“在 IE 浏览器中总是使用 Java”复选框,以便在使用 Internet Explorer 时使用 Java 访问 Citrix 入口。如果未进行此设置,须将 Citrix ICA 客户端或 XenApp 插件(ActiveX 客户端)与 IE 配套使用。进行该设置后,用户无需安装专门针对 IE 浏览器的 Citrix ICA 客户端或 XenApp 插件。在其他浏览器上,Java 默认与 Citrix 配套使用,也可与 IE 配套使用。启用此复选框就可利用此可移植性。
9. 或者,您也可以选择“总是使用指定的 Citrix ICA 服务器”,并在出现的“ICA 服务器地址”字段中指定 IP 地址。该设置允许您为 Citrix ICA 会话指定 Citrix ICA 服务器地址。默认情况下,书签使用 Citrix 服务器上的 ICA 配置中提供的信息。
10. 单击“接受”。
管理员可为每一用户、群组或全局 HTTP(S),RDP(Java 或 ActiveX),文件共享 (CIFS) 和 FTP 书签配置自定义单点登录 (SSO) 凭据。该功能用于访问 HTTP、RDP 和 FTP 服务器等资源,这些服务器需要域前缀,以便进行 SSO 验证。用户可以以用户名登录 SRA 设备,并单击自定义书签,访问带有域\用户名的服务器。直接输入文本参数或动态变量都可用于“用户名”和“域”。对于“密码”字段,请输入要传递的自定义密码,或将此字段留为空白,以将当前用户的密码传递至书签。
要配置自定义 SSO 登录凭据,并为基于表单的验证 (FBA) 配置单点登录,请执行以下步骤:
1. 创建或编辑添加或编辑用户书签所述的 HTTP(S),RDP,文件共享 (CIFS) 或 FTP 书签。
2. 在“书签”选项卡中,选择“使用自定义登录凭据”选项
在“用户”和“域”字段,输入要传递给书签的自定义文本,或使用动态变量,详见下表:
|
4. 在“密码”字段中输入要传递的自定义密码,或将此字段留为空白,以便将当前用户的密码传递至书签。
5. 选择“基于表单的验证”复选框,配置基于表单的验证的单点登录。
• 用户表单字段 — 该字段应与代表登录表单中“用户名”的 HTML 元素的“名称”和“ID”属性相同,例如:<input type=text name=’userid’>
• 密码表单字段 — 该字段应与代表登录表单中“密码”的 HTML 元素的“名称”或“ID”属性相同,例如:
<input type=password name=’PASSWORD’ id=’PASSWORD’ maxlength=128>
6. 勾选“在 Mobile Connect 客户端上显示书签”复选框,以便在移动设备上显示书签。
7. 单击“接受”。
“登录策略”选项卡可为策略提供配置选项,以便允许或拒绝具有特定 IP 地址的用户拥有 SRA 设备的登录权限。要允许或拒绝特定用户登录设备,请执行以下步骤:
1. 导航至“用户 > 本地用户”页面。
2. 单击您想要配置的用户的配置图标。将显示“编辑本地用户”页面。
3. 单击“登录策略”选项卡。将显示“编辑本地用户 - 登录策略”选项卡。
4. 要阻止指定用户或用户登录设备,请勾选“禁用登录”复选框。
5. 您还可以选中“强制启用客户端证书”复选框,要求使用登录所需的客户端证书。通过选中此复选框,您可要求客户端提供客户端证书,以便进行严格的双向认证。将出现另外两个字段:
• 验证用户名是否匹配客户端证书的公共名称 (CN) — 选中此复选框表示要求用户的帐户名与其客户端证书匹配。
• 验证主题中的部分 DN — 使用以下变量配置将匹配客户端证书的部分 DN:
– 用户名:%USERNAME%
– 域名:%USERDOMAIN%
– 活动目录用户名:%ADUSERNAME%
– 通配符:%WILDCARD%
6. 要要求指定用户使用一次性密码登录设备,请勾选“需要一次性密码”复选框。
7. 将用户电子邮件地址输入“电子邮件地址”字段,覆盖域提供的所有地址。更多关于一次性密码的信息,请参考一次性密码概述。
Note 要将电子邮件配置至外部域(如 SMS 地址或外部网页邮件地址),您需要配置 SMTP 服务器,以便允许在 SRA 设备和该域之间进行中继。
8. 要将您选择的策略应用于源 IP 地址,请选择“用源 IP 地址作为登录策略”下“从定义的地址登录”下拉列表中的访问策略(“允许”或“拒绝”),然后单击列表框下“添加”。将显示“定义地址”窗口。
在“定义地址”窗口,从“源地址类型”下拉列表中选择一个源地址类型选项。
• IP 地址 — 用来选择特定的 IP 地址。
• IP 网络 — 用来选择一个 IP 地址范围。如果您选择该选项,“定义地址”窗口中将出现“网络地址”字段和“子网掩码”字段。
IPv6 地址 — 用来选择特定的 IPv6 地址。
• IPv6 网络 — 用来选择一个 IPv6 地址范围。如果您选择该选项,“定义地址”窗口中将出现“IPv6 网络”字段和“前缀”字段。
为您选择的源地址类型提供适当的 IP 地址。
• IP 地址 — 在“IP 地址”字段键入单个 IP 地址。
• IP 网络 — 在“网络地址”字段键入 IP 地址,然后提供一个子网掩码值,指定“子网掩码”字段中的地址范围。
• IPv6 地址 — 键入 IPv6 地址,例如 2007::1:2:3:4。
• IPv6 网络 — 在“IPv6 网络”字段键入 IPv6 网络地址,形式为 2007:1:2::。在“前缀”字段键入前缀,例如 64。
11. 单击“添加”。“编辑用户设置”窗口中的“已定义地址”列表中将显示地址或地址范围。例如,如果您为地址范围选择了 10.202.4.32 作为网络地址,255.255.255.240(28 位)作为子网掩码值,“已定义地址”列表将显示 10.202.4.32–10.202.4.47。这种情况下,10.202.4.47 将作为广播地址。无论您选择了何种登录策略,现在都将应用于此范围中的地址。
要将您选择的策略应用于客户端浏览器,请选择“用客户端浏览器作为登录策略”下“从定义的浏览器登录”下拉列表中的访问策略(“允许”或“拒绝”),然后单击列表框下的“添加”。将显示“定义浏览器”窗口。
在“定义浏览器”窗口,在“客户端浏览器”字段键入浏览器定义,然后单击“添加”。“已定义浏览器”列表中将出现浏览器名称。
Note Firefox、Internet Explorer 和 Netscape 浏览器的定义为:javascript:document:writeln (navigator.userAgent)
14. 单击“接受”。保存新登录策略。
为用户配置终端控制
要配置本地用户使用的终端控制配置文件,请执行以下步骤:
1. 导航至“用户 > 本地用户”页面。
2. 单击要进行 EPC 配置的用户旁的配置图标。将显示“编辑本地用户”窗口。
3. 单击“EPC”选项卡。将显示“EPC”窗口。