This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
用户帐户和密码管理
NetScaler 使您能够管理用户帐户和密码配置。以下是您可以使用系统用户帐户或 nsroot
管理用户帐户执行的一些活动。
- 系统用户帐户锁定
- 锁定系统用户帐户以获得管理访问权限
- 解锁锁锁定的系统用户帐户以获得管理访问权限
- 禁用系统用户帐户的管理访问权限
- 强制
nsroot
管理员用户更改密码 - 删除系统用户帐户中的敏感文件
- 为系统用户配置强大的密码
系统用户帐户锁定
为防止暴力安全攻击,您可以配置用户锁定配置。该配置使网络管理员能够阻止系统用户登录 NetScaler。此外,在锁定期到期之前解锁用户帐户。
要获取重启后用户登录尝试失败的persistentLoginAttempts
详细信息,可以启用该 参数。
在命令提示符下,键入:
set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)
示例:
set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED
注意:
要使
aaa.user.login_attempts
表达式生效,必须禁用 “持续登录尝试” 参数。运行该
unset aaa parameter -persistentLoginAttempts
命令以禁用(如果启用)永久登录尝试。有关登录尝试功能的详细信息,请参阅 支持检索用户当前的登录尝试。
以下 show 命令输出显示身份验证、授权和审计参数的配置状态:
show aaaparameter
Configured AAA parameters
EnableStaticPageCaching: YES
EnableEnhancedAuthFeedback: NO
DefaultAuthType: LOCAL MaxAAAUsers: Unlimited
AAAD nat ip: None
EnableSessionStickiness : NO
aaaSessionLoglevel: INFORMATIONAL
AAAD Log Level: INFORMATIONAL
...
Persistent Login Attempts: DISABLED
<!--NeedCopy-->
使用 GUI 配置系统用户帐户锁定
- 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA设置。
-
在 配置 AAA 参数 页面中,设置以下参数:
- 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
- 登录超时失败。用户尝试无效登录的最大次数。
- 持续登录尝试。永久存储重启后失败的用户登录尝试。
-
单击确定。
设置参数时,用户帐户因三次或三次以上无效登录尝试而被锁定 10 分钟。此外,即使在 10 分钟内使用有效凭据,用户也无法登录。
注意
如果锁定用户尝试登录 NetScaler,则会显示一条错误消
RBA Authentication Failure: maxlogin attempt reached for test.
息。
锁定系统用户帐户以获得管理访问权限
NetScaler 使您可以锁定系统用户 24 小时并拒绝该用户的访问。
NetScaler 支持系统用户和外部用户的配置。
注意
只有在禁用
aaa
参数中的persistentLoginAttempts
选项时,才支持该功能。
在命令提示符下,键入:
set aaa parameter –persistentLoginAttempts DISABLED
现在,要锁定用户帐户,请在命令提示符下键入:
lock aaa user test
使用 GUI 锁定系统用户帐户
- 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA设置。
- 在“配置 AAA 参数”的“持续登录尝试”列表中,选择“已禁用”。
- 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
- 选择一个用户。
-
在“选择操作”列表中,选择“锁定”。
注意
NetScaler GUI 没有锁定外部用户的选项。要锁定外部用户,ADC 管理员必须使用 CLI。 当锁定系统用户(使用锁定认证、授权和审计用户命令锁定)尝试登录 NetScaler 时,会出现一条错误消息,“RBA 认证失败:用户测试被锁定 24 小时。”
当用户被锁定无法登录到管理访问权限时,控制台访问权限将被豁免。锁定用户可以登录到控制台。
解锁锁锁定的系统用户帐户以获得管理访问权限
使用锁定身份验证、授权和审核用户命令可以将系统用户和外部用户锁定 24 小时。
注意
NetScaler 允许管理员解锁锁定用户,并且该功能不需要在 “PersistentLoginAttempts” 命令中进行任何设置。
在命令提示符下,键入:
unlock aaa user test
使用 GUI 配置系统用户解锁
- 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
- 选择一个用户。
-
单击“解锁”。
NetScaler GUI 仅列出在 ADC 中创建的系统用户,因此 GUI 中没有解锁外部用户的选项。要解锁外部用户, nsroot
管理员必须使用 CLI。
禁用系统用户帐户的管理访问权限
配置外部身份验证后,作为管理员,如果您希望拒绝系统用户登录管理访问权限,则必须禁用系统参数中的 LocalAuth 选项。
在命令提示符处,键入以下内容:
set system parameter localAuth <ENABLED|DISABLED>
示例:
set system parameter localAuth DISABLED
使用 GUI 禁用系统用户的管理访问权限
- 导航到“配置”>“系统”>“设置”>“更改全局系统设置”。
- 在 命令行界面 (CLI) 部分中,取消选中“本地身份验证”复选框。
禁用该选项后,本地系统用户无法登录 ADC 管理访问权限。
注意
外部身份验证服务器必须经过配置且可访问,才能在系统参数中禁止本地系统用户身份验证。如果无法访问在 ADC 中配置的用于管理访问的外部服务器,则本地系统用户可以登录到 NetScaler。该行为是为恢复目的而设置的。
强制更改管理用户的密码
对于 安全nsroot
认证,如果 在系统参数中启用了该选项,NetScaler 会提示用户将forcePasswordChange
默认密码更改为新密码。首次使用默认凭据登录时,可以通过 CLI 或 GUI 更改 nsroot
密码。
在命令提示符下,键入:
set system parameter -forcePasswordChange ( ENABLED | DISABLED )
NSIP 的 SSH 会话示例:
ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #
###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->
删除系统用户帐户中的敏感文件
要管理敏感数据,例如系统用户帐户的授权密钥和公钥,必须启用 removeSensitiveFiles
选项。启用系统参数时删除敏感文件的命令有:
- rm cluster instance
- rm 群集节点
- rm 高可用性节点
- 清除配置已满
- join cluster
- add cluster instance
在命令提示符下,键入:
set system parameter removeSensitiveFiles ( ENABLED | DISABLED )
示例:
set system parameter -removeSensitiveFiles ENABLED
为系统用户配置强大的密码
为了进行安全认证,NetScaler 提示系统用户和管理员设置登录控制台的强密码。密码必须很长并且必须是以下各项的组合:
- 一个小写字符
- 一个大写字符
- 一个数字字符
- 一个特殊字符
在命令提示符下,键入:
set system parameter -strongpassword <value> -minpasswordlen <value>
其中,
Strongpassword
。启用强密码 (enable all
/ enablelocal
) 后,所有密码或敏感信息必须具有以下内容:
- 至少 1 个小写字符
- 至少 1 个大写字符
- 至少 1 个数字字符
- 至少 1 个特殊字符
排除 enablelocal
中的列表为 - NS_FIPS
、NS_CRL
、NS_RSAKEY
、NS_PKCS12
、NS_PKCS8, NS_LDAP、NS_TACACS
、NS_TACACSACTION
、NS_RADIUS
、NS_RADIUSACTION
、NS_ENCRYPTION_PARAMS
。因此,不会对系统用户的这些 ObjectType 命令执行强密码检查。
可能的值: enableall
, enablelocal
,已禁用
默认值:禁用
minpasswordlen
。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认最小值为 1。在这两种情况下,最大值均为 127。
最小值:1 最大值:127
示例:
set system parameter -strongpassword enablelocal -minpasswordlen 6
默认用户帐户
管理员可以使用 nsrecover
用户帐户恢复 NetScaler 设备。如果默认系统用nsrecover
户 (nsroot
) 由于任何不可预见的问题而无法登录,则 可以使用登录 NetScaler。 nsrecover
登录与用户配置无关,允许您直接访问 shell 提示符。 nsrecover
无论达到最大配置限制多少,您都可以通过登录。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.