-
-
-
OTPシークレットデータを暗号化された形式で保存する
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
OTPシークレットデータを暗号化された形式で保存する
NetScalerリリース13.0ビルド41.20以降、OTPシークレットデータをプレーンテキストではなく暗号化された形式で保存できるようになりました。
以前は、NetScalerアプライアンスはOTPシークレットをプレーンテキストとしてADに保存していました。OTP シークレットをプレーンテキストで保存すると、悪意のある攻撃者や管理者が他のユーザーの共有シークレットを閲覧してデータを悪用する可能性があるため、セキュリティ上の脅威となります。
暗号化パラメータは AD の OTP シークレットの暗号化を可能にします。NetScalerバージョン13.0ビルド41.20に新しいデバイスを登録し、暗号化パラメーターを有効にすると、OTPシークレットはデフォルトで暗号化された形式で保存されます。ただし、暗号化パラメータが無効になっている場合、OTP シークレットはプレーンテキスト形式で保存されます。
13.0 ビルド 41.20 より前に登録されたデバイスの場合は、ベストプラクティスとして以下を実行する必要があります。
- 13.0 NetScalerアプライアンスを13.0ビルド41.20にアップグレードします。
- アプライアンスの暗号化パラメータを有効にします。
- OTP シークレット移行ツールを使用して、OTP シークレットデータをプレーンテキスト形式から暗号化形式に移行します。
OTP シークレット移行ツールの詳細については、「OTP 暗号化ツール」を参照してください。
重要
:Citrix では、管理者に次の基準が満たされていることを確認することをお勧めします。
セルフサービスパスワードリセット機能の一部として KBA を使用していない場合は、OTP シークレットを暗号化するように新しい証明書を構成する必要があります。
To bind the certificate to VPN global, you can use the following command:
bind vpn global -userDataEncryptionKey <certificate name>すでに証明書を使用して KBA を暗号化している場合は、同じ証明書を使用して OTP シークレットを暗号化できます。
新しい OTP 登録は、常に最後にバインドされた証明書が最も優先されるため、その証明書で行われます。以下の例では、証明書 (cert1) をバインドしてから別の証明書 (cert2) をバインドすると、cert2 がデバイス登録の対象とみなされます。デバイス登録に必要な証明書がない場合、エンドユーザーのログインは失敗します。
bind vpn global -userDataEncryptionKey otp-cert1 bind vpn global -userDataEncryptionKey otp-cert2 <!--NeedCopy-->次の例では、
cert2証明書はshow vpn globalコマンド出力の最初のエントリとして表示されます。``` show vpn global
ポータルテーマ:RFWebUI ユーザデータ暗号化証明書:cert2 ユーザデータ暗号化証明書:cert1 1) VPN クライアントレスアクセスポリシー名: ns_cvpn_owa_policy 優先度:95000 バインドポイント:REQ_DEFAULT 2) VPN クライアントレスアクセスポリシー名:ns_cvpn_sp_policy 優先度:96000 バインドポイント:REQ_DEFAULT 3) VPN クライアントレスアクセスポリシー名: ns_cvpn_sp2013_policy 優先度:97000 バインドポイント:REQ_DEFAULT 4) VPN クライアントレスアクセスポリシー名:ns_cvpn_default_policy 優先度:100000 バインドポイント:REQ_DEFAULT ``
CLI を使用して OTP 暗号化データを有効にするには
コマンドプロンプトで入力します:
set aaa otpparameter [-encryption ( ON | OFF )]
例
set aaa otpparameter -encryption ON
GUI を使用して OTP 暗号化を設定するには
- [ セキュリティ] > [AAA-アプリケーショントラフィック ] に移動し、[ **認証設定] セクションで [認証 AAA OTP パラメータの変更** ]
- 「 AAA OTP パラメータの設定 」ページで、「 OTP シークレット暗号化」を選択します。
- [OK] をクリックします。
OTP 通知を受信するエンドユーザーデバイス数の設定
管理者は、エンドユーザーがOTP通知または認証を受け取るために登録できるデバイスの数を設定できるようになりました。
CLI を使用して OTP のデバイス数を設定するには
コマンドプロンプトで入力します:
set aaa otpparameter [-maxOTPDevices <positive_integer>]
例
set aaa otpparameter -maxOTPDevices 4
GUI を使用してデバイス数を設定するには
-
[ セキュリティ] > [AAA — アプリケーショントラフィック] に移動します。
-
[ 認証設定 ] セクションで、[ 認証 AAA OTP パラメータの変更] をクリックします。
-
[ AAA OTP パラメータの設定] ページで、[ 設定済みの OTP デバイスの最大数] の値を入力します。
-
[OK] をクリックします。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.