Table of Contents

Для того, чтобы сделать пользователей группы AD админами Citrix NetScaler надо:
1. Добавить сервер AD.
2. Создать политику.
3. Привязать политику.
4. Прописать в NetScaler группу из AD и дать ей права.
http://www.carlstalhood.com/netscaler-gateway-11-ldap-authentication/#policy

Добавление сервера AD

Кликаем слева AuthenticationDashboardAdd.
TypeLDAP
Name - имя сервера, которое будет использовано в рамках Netscaler.
.
.
.
Дальше все банально.
В BaseDN пишем OU-шку из котрой будем брать пользователей. Например -

CN=Users,DC=domain,DC=com


В Other Settings пишем:
Server Logon Name Attribute

sAMAccountName


Search Filter

memberOf=CN=UserGroup,CN=Users,DC=domain,DC=com

ВАЖНО, что строку Search Filter пишем без кавычек или скобок (вопреки ранним гайдам, где нужно было ставить две пары кавычек или скобки).
UserGroup - это группа, в которой будет осуществлен поиск объектов пользователей.
Если нужно делать поиск по вложеным группам -

memberOf:1.2.840.113556.1.4.1941:=CN=UserGroup,CN=Users,DC=domain,DC=com


Group Attribute

memberOf

Если не назначить значение Group Attribute, то пользователи смогут аутентифицироваться и залогиниться, но Netscaler не сможет получить их принадлежность к группам и, соответственно, не сможет сопоставить имя группы в AD с именем группы в своей конфигурации и не даст никаких прав. Sub Attribute Name

cn

SSO Name Attribute

cn

Создание политики

Кликаем слева SystemAuthenticationBasic PoliciesLDAPAdd
Вводим имя - ldap-service-policy.
Выбираем созданный ранее сервер.
В поле Expression руками вводим

ns_true

Жмем ОК

Привязка политики

В окошке с политиками где у нас видна политика ldap-service-policy жмем кнопку Global Bindings.
Выбираем политику - жмем Click to select ставим переключатель на политику и жмем кнопку Select.
И жмем кнопку Bind.

Даем права группе

Кликаем слева SystemUser AdministrationGroupsAdd.
В Group Name вводим имя группы в точности так как оно есть в AD.
Для того, чтобы дать группе права в поле Command Policies жмем Bind и ставим галочки с соотвествующими правами. Например - superuser. Завершаем процесс - кликаем Create.