Stocker les données secrètes OTP dans un format crypté
À partir de la version 13.0 de NetScaler build 41.20, les données secrètes OTP peuvent être stockées dans un format crypté plutôt qu’en texte brut.
Auparavant, l’appliance NetScaler stockait le secret OTP sous forme de texte brut dans AD. Le stockage du secret OTP en texte brut constitue une menace pour la sécurité, car un attaquant malveillant ou un administrateur peut exploiter les données en consultant le secret partagé par d’autres utilisateurs.
Le paramètre de chiffrement active le chiffrement du secret OTP dans AD. Lorsque vous enregistrez un nouvel appareil auprès de NetScaler version 13.0 build 41.20 et que vous activez le paramètre de cryptage, le secret OTP est stocké dans un format crypté, par défaut. Toutefois, si le paramètre de chiffrement est désactivé, le secret OTP est stocké au format texte brut.
Pour les appareils enregistrés avant la version 13.0 41.20, vous devez effectuer les opérations suivantes en tant que bonne pratique :
- Mettez à niveau l’appliance NetScaler 13.0 vers la version 13.0 41.20.
- Activez le paramètre de chiffrement sur l’appliance.
- Utilisez l’outil de migration secrète OTP pour migrer les données secrètes OTP du format texte brut au format crypté.
Pour plus de détails sur l’outil de migration secret OTP, consultez la section Outil de chiffrement OTP.
Important
: Citrix vous recommande, en tant qu’administrateur, de vous assurer que les critères suivants sont remplis :
Un nouveau certificat doit être configuré pour chiffrer les secrets OTP si vous n’utilisez pas KBA dans le cadre de la fonctionnalité de réinitialisation de mot de passe en libre-service.
To bind the certificate to VPN global, you can use the following command:
bind vpn global -userDataEncryptionKey <certificate name>
Si vous utilisez déjà un certificat pour chiffrer KBA, vous pouvez utiliser le même certificat pour chiffrer les secrets OTP.
Les nouveaux enregistrements OTP se font toujours avec le dernier certificat relié, car celui-ci a la plus haute priorité. Dans l’exemple ci-dessous, si vous liez un certificat (cert1) puis un autre certificat (cert2), cert2 est pris en compte pour l’enregistrement de l’appareil. Si le certificat requis pour l’enregistrement de l’appareil est manquant, la connexion de l’utilisateur final échoue.
bind vpn global -userDataEncryptionKey otp-cert1 bind vpn global -userDataEncryptionKey otp-cert2 <!--NeedCopy-->
Dans l’exemple suivant, le certificat
cert2
est affiché en tant que première entrée sur la sortie de la commandeshow vpn global
:``` show vpn global
Portal Theme: RfWebUI Userdata Encryption Certificate: cert2 Userdata Encryption Certificate: cert1 1) VPN Clientless Access Policy Name: ns_cvpn_owa_policy Priority: 95000 Bindpoint: REQ_DEFAULT 2) VPN Clientless Access Policy Name: ns_cvpn_sp_policy Priority: 96000 Bindpoint: REQ_DEFAULT 3) VPN Clientless Access Policy Name: ns_cvpn_sp2013_policy Priority: 97000 Bindpoint: REQ_DEFAULT 4) VPN Clientless Access Policy Name: ns_cvpn_default_policy Priority: 100000 Bindpoint: REQ_DEFAULT ```
Pour activer le cryptage des données OTP à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
set aaa otpparameter [-encryption ( ON | OFF )]
Exemple
set aaa otpparameter -encryption ON
Pour configurer le cryptage OTP à l’aide de l’interface graphique
- Accédez à Sécurité > AAA — Trafic de l’application et cliquez sur Modifier le paramètre OTP AAAd’authentification sous la section Paramètres d’authentification .
- Sur la page Configurer le paramètre OTP AAA, sélectionnez Chiffrement secret OTP.
- Cliquez sur OK.
Configuration du nombre d’appareils des utilisateurs finaux pour recevoir des notifications OTP
Les administrateurs peuvent désormais configurer le nombre d’appareils qu’un utilisateur final peut enregistrer pour recevoir une notification OTP ou une authentification.
Pour configurer le nombre d’appareils dans OTP à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
set aaa otpparameter [-maxOTPDevices <positive_integer>]
Exemple
set aaa otpparameter -maxOTPDevices 4
Pour configurer le nombre d’appareils à l’aide de l’interface graphique
-
Accédez à Sécurité > AAA — Trafic d’applications.
-
Dans la section Paramètres d’authentification, cliquez sur Modifier le paramètre OTP AAA de l’authentification.
-
Sur la page Configurer le paramètre OTP AAA, entrez la valeur du nombre maximal de périphériques OTP configurés.
-
Cliquez sur OK.