ADC

Benutzerkonto- und Kennwortverwaltung

NetScaler ermöglicht Ihnen die Verwaltung von Benutzerkonten und Kennwortkonfigurationen. Im Folgenden sind einige der Aktivitäten aufgeführt, die Sie mit einem Systembenutzerkonto oder nsrooteinem Administratorbenutzerkonto ausführen können.

  • Sperrung des Systembenutzerkontos
  • Sperren Sie das Systembenutzerkonto für den Verwaltungszugriff
  • Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff
  • Deaktivieren Sie den Verwaltungszugriff für das Systembenutzerkonto
  • Benutzer über die Änderung des NSROOT-Passworts benachrichtigen
  • Passwortänderung für nsrootAdministratorbenutzer erzwingen
  • Entfernen Sie vertrauliche Dateien in einem Systembenutzerkonto
  • Starke Kennwortkonfiguration für Systembenutzer

Sperrung des Systembenutzerkontos

Um Brute-Force-Sicherheitsangriffe zu verhindern, können Sie die Benutzersperrkonfiguration konfigurieren. Die Konfiguration ermöglicht es einem Netzwerkadministrator, zu verhindern, dass sich ein Systembenutzer bei NetScaler anmeldet. Entsperren Sie außerdem das Benutzerkonto, bevor die Sperrfrist abläuft.

Um die Details der erfolglosen Benutzeranmeldeversuche bei Neustarts abzurufen, kann der persistentLoginAttemptsParameter aktiviert werden.

Geben Sie in der Befehlszeile Folgendes ein:

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

Beispiel:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

Hinweis:

Damit der aaa.user.login_attemptsAusdruck wirksam wird, müssen Sie den Parameter „Persistent Login Attempts“ deaktivieren.

Führen Sie den unset aaa parameter -persistentLoginAttemptsBefehl aus, um die dauerhaften Anmeldeversuche zu deaktivieren (falls aktiviert).

Einzelheiten zur Funktion für Anmeldeversuche finden Sie unter Support zum Abrufen aktueller Anmeldeversuche für einen Benutzer .

Die folgende Show-Befehlsausgabe zeigt den Konfigurationsstatus der Authentifizierungs-, Autorisierungs- und Auditing-Parameter an:

show aaaparameter

Configured AAA parameters

EnableStaticPageCaching: YES

EnableEnhancedAuthFeedback: NO

DefaultAuthType: LOCAL MaxAAAUsers: Unlimited

AAAD nat ip: None

EnableSessionStickiness : NO

aaaSessionLoglevel: INFORMATIONAL

AAAD Log Level: INFORMATIONAL

...

Persistent Login Attempts: DISABLED

<!--NeedCopy-->

Konfigurieren Sie die Sperrung von Systembenutzerkonten mithilfe der GUI

  1. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsverkehr > Authentifizierungseinstellungen > AAA-Authentifizierungseinstellungen ändern.
  2. Stellen Sie auf der Seite „AAA-Parameter konfigurieren “ die folgenden Parameter ein:

    1. Max. Anmeldeversuche. Die maximale Anzahl von Anmeldeversuchen, die der Benutzer versuchen darf.
    2. Anmelde-Timeout fehlgeschlagen. Die maximale Anzahl ungültiger Anmeldeversuche des Benutzers.
    3. Ständige Anmeldeversuche. Dauerhafte Speicherung erfolgloser Benutzeranmeldeversuche bei Neustarts.
  3. Klicken Sie auf OK.

    GUI-Konfiguration für die Sperrung von Systembenutzerkonten

Wenn Sie die Parameter festlegen, wird das Benutzerkonto für 10 Minuten für drei oder mehr ungültige Anmeldeversuche gesperrt. Außerdem kann sich der Benutzer selbst mit gültigen Anmeldeinformationen 10 Minuten lang nicht anmelden.

Hinweis

Wenn ein gesperrter Benutzer versucht, sich bei NetScaler anzumelden, wird eine Fehlermeldung angezeigtRBA Authentication Failure: maxlogin attempt reached for test..

Sperren Sie das Systembenutzerkonto für den Verwaltungszugriff

NetScaler ermöglicht es Ihnen, einen Systembenutzer für 24 Stunden zu sperren und dem Benutzer den Zugriff zu verweigern.

NetScaler unterstützt die Konfiguration sowohl für Systembenutzer als auch für externe Benutzer.

Hinweis

Die Funktion wird nur unterstützt, wenn Sie die Option persistentLoginAttempts im Parameter aaa deaktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa parameter –persistentLoginAttempts DISABLED

Um ein Benutzerkonto zu sperren, geben Sie an der Eingabeaufforderung Folgendes ein:

lock aaa user test

Sperren Sie ein Systembenutzerkonto mithilfe der GUI

  1. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsverkehr > Authentifizierungseinstellungen > AAA-Authentifizierungseinstellungen ändern.
  2. Wählen Sie unter AAA-Parameter konfigurierenin der Liste Persistent Login Attempts die Option DISABLEDaus.
  3. Navigieren Sie zu System > Benutzeradministration > Benutzer.
  4. Wählen Sie einen Benutzer aus.
  5. Wählen Sie in der Liste „Aktion auswählen“ die Option Sperrenaus.

    Wählen Sie die Sperroption

Hinweis

Die NetScaler-GUI bietet keine Option zum Sperren externer Benutzer. Um einen externen Benutzer zu sperren, muss der ADC-Administrator die CLI verwenden. Wenn ein gesperrter Systembenutzer (gesperrt mit dem Befehl „Lock Authentication, Authorization and Auditing user“) versucht, sich bei NetScaler anzumelden, wird die Fehlermeldung „RBA-Authentifizierungsfehler: Benutzertest ist für 24 Stunden gesperrt“ angezeigt.

Wenn ein Benutzer gesperrt ist, um sich am Verwaltungszugriff anzumelden, ist der Konsolenzugriff davon ausgenommen. Der gesperrte Benutzer kann sich an der Konsole anmelden.

Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff

Systembenutzer und externe Benutzer können mit dem Befehl lock authentication, authorization und auditing user für 24 Stunden gesperrt werden.

Hinweis

NetScaler ermöglicht es Administratoren, den gesperrten Benutzer zu entsperren, und für die Funktion sind keine Einstellungen im Befehl „PersistentLoginAttempts“ erforderlich.

Geben Sie in der Befehlszeile Folgendes ein:

unlock aaa user test

Konfigurieren Sie die Systembenutzer-Entsperrung mithilfe der GUI

  1. Navigieren Sie zu System > Benutzeradministration > Benutzer.
  2. Wählen Sie einen Benutzer aus.
  3. Klicken Sie auf Entsperren

    Systembenutzer-Entsperrung konfigurieren

Die NetScaler-GUI listet nur Systembenutzer auf, die im ADC erstellt wurden, sodass es in der GUI keine Option gibt, externe Benutzer zu entsperren. Um einen externen Benutzer zu entsperren, muss der nsroot Administrator die CLI verwenden.

Deaktivieren Sie den Verwaltungszugriff für das Systembenutzerkonto

Wenn die externe Authentifizierung auf NetScaler und als Administrator konfiguriert ist und Sie es vorziehen, Systembenutzern den Zugriff zu verweigern, um sich am Verwaltungszugriff anzumelden, müssen Sie die LocalAuth-Option im Systemparameter deaktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter localAuth <ENABLED|DISABLED>

Beispiel:

set system parameter localAuth DISABLED

Deaktivieren Sie den Verwaltungszugriff für den Systembenutzer mithilfe der GUI

  1. Navigieren Sie zu Konfiguration > System > Einstellungen > Globale Systemeinstellungen ändern.
  2. Deaktivieren Sie im Abschnitt Befehlszeilenschnittstelle (CLI) das Kontrollkästchen Lokale Authentifizierung .

Wenn Sie die Option deaktivieren, können sich lokale Systembenutzer nicht am ADC-Verwaltungszugriff anmelden.

Hinweis

Der externe Authentifizierungsserver muss konfiguriert und erreichbar sein, um die lokale Systembenutzerauthentifizierung im Systemparameter zu verhindern. Wenn der in ADC für den Verwaltungszugriff konfigurierte externe Server nicht erreichbar ist, können sich lokale Systembenutzer bei NetScaler anmelden. Das Verhalten ist für Wiederherstellungszwecke eingerichtet.

Benutzer über die Änderung des NSROOT-Passworts benachrichtigen

Aus Sicherheitsgründen empfehlen wir Ihnen, das Passwort häufig zu ändernnsroot. Sie werden über eine Passwortänderung informiert, bevor es abläuft.

Sie können eine Benachrichtigung für Ihre nsroot-Passwortänderung entweder über die CLI oder die GUI einrichten.

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter -daystoexpire 30 -warnpriorndays 30
<!--NeedCopy-->

Sie können die folgenden Parameter konfigurieren:

  • daystoexpire— Die Anzahl der verbleibenden Tage bis zum Ablauf des Passworts
  • warnpriorndays— Die Anzahl der Tage vor Ablauf des Passworts, an denen eine Warnung ausgegeben werden muss

Hinweis:

Sie müssen den daystoexpireParameter festlegen, wenn Sie den warnpriorndaysParameter festlegen möchten.

Im Folgenden finden Sie ein Beispiel für eine Warnmeldung auf einer NetScaler CLI-Konsole:

Warnpriorndays-Nachricht

Benutzer über die GUI über die Änderung des nsroot-Passworts benachrichtigen

  1. Navigieren Sie zu Konfiguration > System > Einstellungen > Globale Systemeinstellungen ändern.
  2. Stellen Sie im Abschnitt Andere Einstellungen die folgenden Parameter ein:
    • Tage bis zum Ablauf
    • Frühere N Tage warnen

    Benachrichtigung in der GUI einrichten

  3. Klicken Sie auf OK.

Kennwortänderung für Administratorbenutzer erzwingen

Für nsrooteine sichere Authentifizierung fordert NetScaler den Benutzer auf, das Standardkennwort in ein neues zu ändern, wenn die forcePasswordChangeOption im Systemparameter aktiviert ist. Sie können Ihr nsroot-Kennwort entweder über die CLI oder die GUI ändern, wenn Sie sich zum ersten Mal mit den Standardanmeldeinformationen anmelden.

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Beispiel für eine SSH-Sitzung für NSIP:

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

Entfernen Sie vertrauliche Dateien in einem Systembenutzerkonto

Um sensible Daten wie autorisierte Schlüssel und öffentliche Schlüssel für ein Systembenutzerkonto zu verwalten, müssen Sie die removeSensitiveFiles Option aktivieren. Die Befehle, mit denen vertrauliche Dateien entfernt werden, wenn der Systemparameter aktiviert ist, sind:

  • RM-Cluster-Instanz
  • RM-Clusterknoten
  • RM-Hochverfügbarkeitsknoten
  • Konfiguration vollständig löschen
  • dem Cluster beitreten
  • Clusterinstanz hinzufügen

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

Beispiel:

set system parameter -removeSensitiveFiles ENABLED

Starke Kennwortkonfiguration für Systembenutzer

Für eine sichere Authentifizierung fordert NetScaler Systembenutzer und Administratoren auf, sichere Kennwörter für die Anmeldung an der Konsole festzulegen. Das Kennwort muss lang sein und eine Kombination aus folgenden Elementen sein:

  • Ein Kleinbuchstabe
  • Ein Großbuchstabe
  • Ein numerisches Zeichen
  • Ein besonderes Zeichen

Geben Sie in der Befehlszeile Folgendes ein:

set system parameter -strongpassword <value> -minpasswordlen <value>

Hierbei gilt:

Strongpassword. Nach der Aktivierung des starken Kennworts (enable all / enablelocal) müssen alle Kennwörter oder vertraulichen Informationen Folgendes enthalten:

  • Mindestens 1 Kleinbuchstabe
  • Mindestens 1 Großbuchstabe
  • Mindestens 1 numerisches Zeichen
  • Mindestens 1 Sonderzeichen

Exclude the list in enablelocal is - NS_FIPS, NS_CRL, NS_RSAKEY, NS_PKCS12, NS_PKCS8, NS_LDAP, NS_TACACS, NS_TACACSACTION, NS_RADIUS, NS_RADIUSACTION, NS_ENCRYPTION_PARAMS. Daher werden für diese ObjectType-Befehle für den Systembenutzer keine starken Kennwortprüfungen durchgeführt.

Mögliche Werte: enableall, enablelocal, disabled Standardwert: disabled

minpasswordlen. Mindestlänge des Systembenutzerkennworts. Wenn das sichere Kennwort standardmäßig aktiviert ist, beträgt die Mindestlänge 4. Der vom Benutzer eingegebene Wert kann größer oder gleich 4 sein. Der standardmäßige Mindestwert ist 1, wenn das sichere Passwort deaktiviert ist. Der Höchstwert ist in beiden Fällen 127.

Mindestwert: 1 Maximalwert: 127

Beispiel:

set system parameter -strongpassword enablelocal -minpasswordlen 6

Standardbenutzerkonto

nsrecoverDas Benutzerkonto wird vom Administrator verwendet, um die NetScaler Appliance wiederherzustellen. Sie können sich bei NetScaler anmeldennsrecover, wenn sich die Standardsystembenutzer ( nsroot) aufgrund unvorhergesehener Probleme nicht anmelden können. Die nsrecover-Anmeldung ist unabhängig von Benutzerkonfigurationen und ermöglicht Ihnen den direkten Zugriff auf den Shell-Prompt. Sie können sich immer über das nsrecoveranmelden, unabhängig davon, ob das maximale Konfigurationslimit erreicht ist.