ADC

Benutzerkonto- und Kennwortverwaltung

Mit Citrix ADC können Sie Benutzerkonten und Kennwortkonfiguration verwalten. Im Folgenden sind einige der Aktivitäten aufgeführt, die Sie mit einem Systembenutzerkonto oder nsrooteinem Administratorbenutzerkonto ausführen können.

  • Sperrung des Systembenutzerkontos
  • Sperren Sie das Systembenutzerkonto für den Verwaltungszugriff
  • Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff
  • Deaktivieren Sie den Verwaltungszugriff für das Systembenutzerkonto
  • Passwortänderung für nsrootAdministratorbenutzer erzwingen
  • Entfernen Sie vertrauliche Dateien in einem Systembenutzerkonto
  • Starke Kennwortkonfiguration für Systembenutzer

Sperrung des Systembenutzerkontos

Um Brute-Force-Sicherheitsangriffe zu verhindern, können Sie die Benutzersperrkonfiguration konfigurieren. Die Konfiguration ermöglicht es einem Netzwerkadministrator, zu verhindern, dass sich ein Systembenutzer bei Citrix ADC anmeldet. Entsperren Sie außerdem das Benutzerkonto, bevor die Sperrfrist abläuft.

Um die Details der erfolglosen Benutzeranmeldeversuche bei Neustarts abzurufen, kann der persistentLoginAttemptsParameter aktiviert werden.

Geben Sie in der Befehlszeile Folgendes ein:

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

Beispiel:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

Hinweis:

Damit der aaa.user.login_attemptsAusdruck wirksam wird, müssen Sie den Parameter „persistente Anmeldeversuche“ deaktivieren.

Führen Sie den unset aaa parameter -persistentLoginAttemptsBefehl aus, um die dauerhaften Anmeldeversuche zu deaktivieren (falls aktiviert).

Einzelheiten zur Funktion für Anmeldeversuche finden Sie unter Support zum Abrufen aktueller Anmeldeversuche für einen Benutzer .

Die folgende Show-Befehlsausgabe zeigt den Konfigurationsstatus der Authentifizierungs-, Autorisierungs- und Auditing-Parameter an:

show aaaparameter

Configured AAA parameters

EnableStaticPageCaching: YES

EnableEnhancedAuthFeedback: NO

DefaultAuthType: LOCAL MaxAAAUsers: Unlimited

AAAD nat ip: None

EnableSessionStickiness : NO

aaaSessionLoglevel: INFORMATIONAL

AAAD Log Level: INFORMATIONAL

...

Persistent Login Attempts: DISABLED

<!--NeedCopy-->

Konfigurieren Sie die Sperrung von Systembenutzerkonten mithilfe der GUI

  1. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsverkehr > Authentifizierungseinstellungen > AAA-Authentifizierungseinstellungen ändern.
  2. Stellen Sie auf der Seite „AAA-Parameter konfigurieren “ die folgenden Parameter ein:

    1. Max. Anmeldeversuche. Die maximale Anzahl von Anmeldeversuchen, die der Benutzer versuchen darf.
    2. Anmelde-Timeout fehlgeschlagen. Die maximale Anzahl ungültiger Anmeldeversuche des Benutzers.
    3. Ständige Anmeldeversuche. Dauerhafte Speicherung erfolgloser Benutzeranmeldeversuche bei Neustarts.
  3. Klicken Sie auf OK.

    GUI-Konfiguration für die Sperrung von Systembenutzerkonten

Wenn Sie die Parameter festlegen, wird das Benutzerkonto für 10 Minuten für drei oder mehr ungültige Anmeldeversuche gesperrt. Außerdem kann sich der Benutzer selbst mit gültigen Anmeldeinformationen 10 Minuten lang nicht anmelden.

Hinweis

Wenn ein gesperrter Benutzer versucht, sich bei Citrix ADC anzumelden, wird eine Fehlermeldung angezeigtRBA Authentication Failure: maxlogin attempt reached for test..

Sperren Sie das Systembenutzerkonto für den Verwaltungszugriff

Mit Citrix ADC können Sie einen Systembenutzer für 24 Stunden sperren und dem Benutzer den Zugriff verweigern.

Citrix ADC unterstützt die Konfiguration sowohl für Systembenutzer als auch für externe Benutzer.

Hinweis

Die Funktion wird nur unterstützt, wenn Sie die Option persistentLoginAttempts im Parameter aaa deaktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa parameter –persistentLoginAttempts DISABLED

Um ein Benutzerkonto zu sperren, geben Sie an der Eingabeaufforderung Folgendes ein:

lock aaa user test

Sperren Sie ein Systembenutzerkonto mithilfe der GUI

  1. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsverkehr > Authentifizierungseinstellungen > AAA-Authentifizierungseinstellungen ändern.
  2. Wählen Sie unter AAA-Parameter konfigurierenin der Liste Persistent Login Attempts die Option DISABLEDaus.
  3. Navigieren Sie zu System > Benutzeradministration > Benutzer.
  4. Wählen Sie einen Benutzer aus.
  5. Wählen Sie in der Liste „Aktion auswählen“ die Option Sperrenaus.

    Wählen Sie die Sperroption

Hinweis

Die Citrix ADC GUI bietet keine Option zum Sperren externer Benutzer. Um einen externen Benutzer zu sperren, muss der ADC-Administrator die CLI verwenden. Wenn ein gesperrter Systembenutzer (gesperrt mit Sperrauthentifizierung, Autorisierung und Auditing-Benutzerbefehl) versucht, sich bei Citrix ADC anzumelden, wird die Fehlermeldung „RBA-Authentifizierungsfehler: Benutzertest ist für 24 Stunden gesperrt“ angezeigt.

Wenn ein Benutzer gesperrt ist, um sich am Verwaltungszugriff anzumelden, ist der Konsolenzugriff davon ausgenommen. Der gesperrte Benutzer kann sich an der Konsole anmelden.

Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff

Systembenutzer und externe Benutzer können mit dem Befehl lock authentication, authorization und auditing user für 24 Stunden gesperrt werden.

Hinweis

Mit Citrix ADC können Administratoren den gesperrten Benutzer entsperren, und für die Funktion sind keine Einstellungen im Befehl „PersistentLoginAttempts“ erforderlich.

Geben Sie in der Befehlszeile Folgendes ein:

unlock aaa user test

Konfigurieren Sie die Systembenutzer-Entsperrung mithilfe der GUI

  1. Navigieren Sie zu System > Benutzeradministration > Benutzer.
  2. Wählen Sie einen Benutzer aus.
  3. Klicken Sie auf Entsperren

    Systembenutzer-Entsperrung konfigurieren

Die Citrix ADC-GUI listet nur Systembenutzer auf, die im ADC erstellt wurden, sodass in der GUI keine Option zum Entsperren externer Benutzer vorhanden ist. Um einen externen Benutzer zu entsperren, muss der nsroot Administrator die CLI verwenden.

Deaktivieren Sie den Verwaltungszugriff für das Systembenutzerkonto

Wenn die externe Authentifizierung auf dem Citrix ADC konfiguriert ist und Sie es als Administrator vorziehen, Systembenutzern den Zugriff zu verweigern, um sich am Verwaltungszugriff anzumelden, müssen Sie die LocalAuth-Option im Systemparameter deaktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter localAuth <ENABLED|DISABLED>

Beispiel:

set system parameter localAuth DISABLED

Deaktivieren Sie den Verwaltungszugriff für den Systembenutzer mithilfe der GUI

  1. Navigieren Sie zu Konfiguration > System > Einstellungen > Globale Systemeinstellungen ändern.
  2. Deaktivieren Sie im Abschnitt Befehlszeilenschnittstelle (CLI) das Kontrollkästchen Lokale Authentifizierung .

Wenn Sie die Option deaktivieren, können sich lokale Systembenutzer nicht am ADC-Verwaltungszugriff anmelden.

Hinweis

Der externe Authentifizierungsserver muss konfiguriert und erreichbar sein, um die lokale Systembenutzerauthentifizierung im Systemparameter zu verhindern. Wenn der in ADC für den Verwaltungszugriff konfigurierte externe Server nicht erreichbar ist, können sich lokale Systembenutzer an der Appliance anmelden. Das Verhalten ist für Wiederherstellungszwecke eingerichtet.

Kennwortänderung für Administratorbenutzer erzwingen

Für nsrooteine sichere Authentifizierung fordert Citrix ADC den Benutzer auf, das Standardkennwort in ein neues zu ändern, wenn die forcePasswordChangeOption im Systemparameter aktiviert ist. Sie können Ihr nsroot-Kennwort entweder über die CLI oder die GUI ändern, wenn Sie sich zum ersten Mal mit den Standardanmeldeinformationen anmelden.

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Beispiel für eine SSH-Sitzung für NSIP:

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

Entfernen Sie vertrauliche Dateien in einem Systembenutzerkonto

Um sensible Daten wie autorisierte Schlüssel und öffentliche Schlüssel für ein Systembenutzerkonto zu verwalten, müssen Sie die removeSensitiveFiles Option aktivieren. Die Befehle, mit denen vertrauliche Dateien entfernt werden, wenn der Systemparameter aktiviert ist, sind:

  • RM-Cluster-Instanz
  • RM-Clusterknoten
  • RM-Hochverfügbarkeitsknoten
  • Konfiguration vollständig löschen
  • dem Cluster beitreten
  • Clusterinstanz hinzufügen

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

Beispiel:

set system parameter -removeSensitiveFiles ENABLED

Starke Kennwortkonfiguration für Systembenutzer

Für eine sichere Authentifizierung fordert Citrix ADC Systembenutzer und Administratoren auf, sichere Kennwörter festzulegen, wenn sie sich an der Konsole anmelden. Das Kennwort muss lang sein und eine Kombination aus folgenden Elementen sein:

  • Ein Kleinbuchstabe
  • Ein Großbuchstabe
  • Ein numerisches Zeichen
  • Ein besonderes Zeichen

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter -strongpassword <value> -minpasswordlen <value>

Hierbei gilt:

Strongpassword. Nach der Aktivierung des starken Kennworts (enable all / enablelocal) müssen alle Kennwörter oder vertraulichen Informationen Folgendes enthalten:

  • Mindestens 1 Kleinbuchstabe
  • Mindestens 1 Großbuchstabe
  • Mindestens 1 numerisches Zeichen
  • Mindestens 1 Sonderzeichen

Exclude the list in enablelocal is - NS_FIPS, NS_CRL, NS_RSAKEY, NS_PKCS12, NS_PKCS8, NS_LDAP, NS_TACACS, NS_TACACSACTION, NS_RADIUS, NS_RADIUSACTION, NS_ENCRYPTION_PARAMS. Daher werden für diese ObjectType-Befehle für den Systembenutzer keine starken Kennwortprüfungen durchgeführt.

Mögliche Werte: enableall, enablelocal, disabled Standardwert: disabled

minpasswordlen. Mindestlänge des Systembenutzerkennworts. Wenn das sichere Kennwort standardmäßig aktiviert ist, beträgt die Mindestlänge 4. Der vom Benutzer eingegebene Wert kann größer oder gleich 4 sein. Der standardmäßige Mindestwert ist 1, wenn das sichere Kennwort deaktiviert ist. Der Maximalwert ist in beiden Fällen 127.

Mindestwert: 1 Maximalwert: 127

Beispiel:

set system parameter -strongpassword enablelocal -minpasswordlen 6

Standardbenutzerkonto

Das nsrecover-Benutzerkonto kann vom Administrator verwendet werden, um die Citrix ADC Appliance wiederherzustellen. Sie können sich bei Citrix ADC anmeldennsrecover, wenn sich die Standardsystembenutzer ( nsroot) aufgrund unvorhergesehener Probleme nicht anmelden können. Die nsrecover-Anmeldung ist unabhängig von Benutzerkonfigurationen und ermöglicht Ihnen den direkten Zugriff auf den Shell-Prompt. Sie können sich immer über den anmelden, nsrecover unabhängig davon, ob das maximale Konfigurationslimit erreicht ist.