Для того, чтобы сделать пользователей группы AD админами Citrix NetScaler надо:
1. Добавить сервер AD.
2. Создать политику.
3. Привязать политику.
4. Прописать в NetScaler группу из AD и дать ей права.
http://www.carlstalhood.com/netscaler-gateway-11-ldap-authentication/#policy
Кликаем слева Authentication → Dashboard → Add.
Type → LDAP
Name - имя сервера, которое будет использовано в рамках Netscaler.
.
.
.
Дальше все банально.
В BaseDN пишем OU-шку из котрой будем брать пользователей. Например -
CN=Users,DC=domain,DC=com
В Other Settings пишем:
Server Logon Name Attribute →
sAMAccountName
Search Filter →
memberOf=CN=UserGroup,CN=Users,DC=domain,DC=com
ВАЖНО, что строку Search Filter пишем без кавычек или скобок (вопреки ранним гайдам, где нужно было ставить две пары кавычек или скобки).
UserGroup - это группа, в которой будет осуществлен поиск объектов пользователей.
Если нужно делать поиск по вложеным группам -
memberOf:1.2.840.113556.1.4.1941:=CN=UserGroup,CN=Users,DC=domain,DC=com
Group Attribute →
memberOf
Если не назначить значение Group Attribute, то пользователи смогут аутентифицироваться и залогиниться, но Netscaler не сможет получить их принадлежность к группам и, соответственно, не сможет сопоставить имя группы в AD с именем группы в своей конфигурации и не даст никаких прав. Sub Attribute Name →
cn
SSO Name Attribute →
cn
Кликаем слева System → Authentication → Basic Policies → LDAP → Add
Вводим имя - ldap-service-policy.
Выбираем созданный ранее сервер.
В поле Expression руками вводим
ns_true
Жмем ОК
В окошке с политиками где у нас видна политика ldap-service-policy жмем кнопку Global Bindings.
Выбираем политику - жмем Click to select ставим переключатель на политику и жмем кнопку Select.
И жмем кнопку Bind.
Кликаем слева System → User Administration → Groups → Add.
В Group Name вводим имя группы в точности так как оно есть в AD.
Для того, чтобы дать группе права в поле Command Policies жмем Bind и ставим галочки с соотвествующими правами. Например - superuser.
Завершаем процесс - кликаем Create.