Speichern geheimer OTP-Daten in einem verschlüsselten Format
Ab NetScaler Version 13.0 Build 41.20 können die geheimen OTP-Daten in einem verschlüsselten Format anstelle von Klartext gespeichert werden.
Zuvor hat die NetScaler Appliance den OTP-Schlüssel als Klartext in AD gespeichert. Das Speichern von OTP-Geheimnissen im Klartext stellt ein Sicherheitsrisiko dar, da ein böswilliger Angreifer oder ein Administrator die Daten ausnutzen könnte, indem er das gemeinsame Geheimnis anderer Benutzer einsieht.
Der Verschlüsselungsparameter ermöglicht die Verschlüsselung des OTP-Geheimnisses in AD. Wenn Sie ein neues Gerät mit NetScaler Version 13.0 Build 41.20 registrieren und den Verschlüsselungsparameter aktivieren, wird das OTP-Geheimnis standardmäßig in einem verschlüsselten Format gespeichert. Wenn der Verschlüsselungsparameter jedoch deaktiviert ist, wird das OTP-Geheimnis im Klartextformat gespeichert.
Für Geräte, die vor 13.0 Build 41.20 registriert wurden, müssen Sie als bewährte Methode die folgenden Schritte ausführen:
- Aktualisieren Sie die 13.0 NetScaler Appliance auf 13.0 Build 41.20.
- Aktivieren Sie den Verschlüsselungsparameter auf der Appliance.
- Verwenden Sie das geheime OTP-Migrationstool, um geheime OTP-Daten vom Klartextformat in das verschlüsselte Format zu migrieren.
Einzelheiten zum geheimen OTP-Migrationstool finden Sie unter OTP-Verschlüsselungstool.
- Wichtig
Citrix empfiehlt Ihnen als Administrator, um sicherzustellen, dass die folgenden Kriterien erfüllt sind:
Ein neues Zertifikat muss so konfiguriert werden, dass OTP-Geheimnisse verschlüsselt werden, wenn Sie KBA nicht als Teil der Self-Service-Kennwortrücksetzfunktion verwenden.
To bind the certificate to VPN global, you can use the following command:
bind vpn global -userDataEncryptionKey <certificate name>
Wenn Sie bereits ein Zertifikat zum Verschlüsseln von KBA verwenden, können Sie dasselbe Zertifikat zum Verschlüsseln von OTP-Geheimnissen verwenden.
Neue OTP-Registrierungen erfolgen immer mit dem letzten gebundenen Zertifikat, da dieses die höchste Priorität hat. Wenn Sie im unten gezeigten Beispiel ein Zertifikat (cert1) binden und dann ein anderes Zertifikat (cert2) binden, wird cert2 für die Geräteregistrierung berücksichtigt. Wenn das für die Geräteregistrierung erforderliche Zertifikat fehlt, schlägt die Anmeldung des Endbenutzers fehl.
bind vpn global -userDataEncryptionKey otp-cert1 bind vpn global -userDataEncryptionKey otp-cert2 <!--NeedCopy-->
Im folgenden Beispiel wird das Zertifikat
cert2
als erster Eintrag in der Ausgabe des Befehlsshow vpn global
angezeigt:``` show vpn global
Portalthema: RFWebUI Benutzerdatenverschlüsselungszertifikat: cert2 Benutzerdatenverschlüsselungszertifikat: cert1 1) Name der VPN-Richtlinie für den clientlosen Zugriff: ns_cvpn_owa_policy Priorität: 95000 Bindpunkt: REQ_DEFAULT 2) Name der VPN-Richtlinie für den clientlosen Zugriff: ns_cvpn_sp_policy Priorität: 96000 Bindpunkt: REQ_DEFAULT 3) Name der VPN-Richtlinie für den clientlosen Zugriff: ns_cvpn_sp_2013_Richtlinienpriorität: 97000 Bindpoint: REQ_DEFAULT 4) Name der VPN-Richtlinie für den clientlosen Zugriff: ns_cvpn_default_policy Priorität: 100000 Bindpoint: REQ_DEFAULT ```
So aktivieren Sie OTP-Verschlüsselungsdaten mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
set aaa otpparameter [-encryption ( ON | OFF )]
Beispiel
set aaa otpparameter -encryption ON
So konfigurieren Sie die OTP-Verschlüsselung mithilfe der GUI
- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr und klicken Sie im Abschnitt **Authentifizierungseinstellungen auf Authentifizierung ändern AAA OTP-Parameter** .
- Wählen Sie auf der Seite „ AAA-OTP-Parameter konfigurieren “ die Option Geheime OTP-Verschlüsselungaus.
- Klicken Sie auf OK.
Konfiguration der Anzahl der Endbenutzergeräte für den Empfang von OTP-Benachrichtigungen
Administratoren können jetzt die Anzahl der Geräte konfigurieren, die ein Endbenutzer registrieren kann, um eine OTP-Benachrichtigung oder Authentifizierung zu erhalten.
So konfigurieren Sie die Anzahl der Geräte in OTP mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
set aaa otpparameter [-maxOTPDevices <positive_integer>]
Beispiel
set aaa otpparameter -maxOTPDevices 4
So konfigurieren Sie die Anzahl der Geräte mithilfe der GUI
-
Navigieren Sie zu Sicherheit > AAA — Application Traffic.
-
Klicken Sie im Abschnitt Authentifizierungseinstellungen auf AAA-OTP-Parameter für die Authentifizierung ändern.
-
Geben Sie auf der Seite „ AAA-OTP-Parameter konfigurieren “ den Wert für das konfigurierte Max OTP-Gerätein.
-
Klicken Sie auf OK.