-
-
-
以加密格式存储 OTP 密钥数据
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
以加密格式存储 OTP 密钥数据
自 Citrix ADC 版本 13.0 Build 41.20 起,OTP 密钥数据可以以加密格式而非纯文本格式存储。
以前,Citrix ADC 设备将 OTP 密钥作为纯文本存储在 AD 中。以纯文本格式存储 OTP 密钥会构成安全威胁,因为恶意攻击者或管理员可能会通过查看其他用户的共享密钥来利用数据。
加密参数启用 AD 中的 OTP 密钥的加密。默认情况下,在 Citrix ADC 版本 13.0 Build 41.20 中注册新设备并启用加密参数时,OTP 密钥将以加密格式存储。但是,如果禁用了加密参数,OTP 密钥将以纯文本格式存储。
对于 13.0 Build 41.20 之前注册的设备,必须执行以下操作作为最佳实践:
- 将 13.0 Citrix ADC 设备升级到 13.0 Build 41.20。
- 在设备上启用加密参数。
- 使用 OTP 密钥迁移工具将 OTP 密钥数据从纯文本格式迁移到加密格式。
有关 OTP 密钥迁移工具的详细信息,请参阅“OTP 加密工具”。
重要
Citrix 建议您作为管理员确保满足以下条件:
如果您没有使用 KBA 作为自助服务密码重置功能的一部分,则必须将新证书配置为加密 OTP 密钥。
To bind the certificate to VPN global, you can use the following command:
bind vpn global -userDataEncryptionKey <certificate name>
如果您已使用证书加密 KBA,则可以使用同一证书加密 OTP 密钥。
新 OTP 注册总是使用最后绑定的证书,因为它的优先级最高。在下面显示的示例中,如果您绑定证书 (cert1),然后绑定另一个证书 (cert2),则会考虑使用 cert2 进行设备注册。如果缺少设备注册所需的证书,最终用户登录将失败。
bind vpn global -userDataEncryptionKey otp-cert1 bind vpn global -userDataEncryptionKey otp-cert2 <!--NeedCopy-->
在以下示例中,
cert2
证书显示为show vpn global
命令输出的第一个条目:``` show vpn global
Portal Theme: RfWebUI Userdata Encryption Certificate: cert2 Userdata Encryption Certificate: cert1 1) VPN Clientless Access Policy Name: ns_cvpn_owa_policy Priority: 95000 Bindpoint: REQ_DEFAULT 2) VPN Clientless Access Policy Name: ns_cvpn_sp_policy Priority: 96000 Bindpoint: REQ_DEFAULT 3) VPN Clientless Access Policy Name: ns_cvpn_sp2013_policy Priority: 97000 Bindpoint: REQ_DEFAULT 4) VPN Clientless Access Policy Name: ns_cvpn_default_policy Priority: 100000 Bindpoint: REQ_DEFAULT ```
使用 CLI 启用 OTP 加密数据
在命令提示符下,键入:
set aaa otpparameter [-encryption ( ON | OFF )]
示例
set aaa otpparameter -encryption ON
使用 GUI 配置 OTP 加密
- 导航到 Security(安全)> AAA – Application Traffic(AAA - 应用程序流量),然后单击 Authentication Settings(身份验证设置)部分下的 Change authentication AAA OTP Parameter(更改身份验证 AAA OTP 参数)。
- 在 Configure AAA OTP Parameter(配置 AAA OTP 参数)页面上,选择 OTP Secret encryption(OTP 密钥加密)。
- 单击确定。
配置用于接收 OTP 通知的最终用户设备的数量
管理员现在可以配置最终用户可以注册以接收 OTP 通知或身份验证的设备数量。
使用 CLI 配置 OTP 中的设备数量
在命令提示符下,键入:
set aaa otpparameter [-maxOTPDevices <positive_integer>]
示例
set aaa otpparameter -maxOTPDevices 4
使用 GUI 配置设备数量
-
导航到安全 > AAA - 应用程序流量。
-
在“身份验证设置”部分中,单击“更改身份验证 AAA OTP 参数”。
-
在 Configure AAA OTP Parameter(配置 AAA OTP 参数)页面上,输入 Max OTP device Configured(已配置的最大 OTP 设备数量)。
-
单击确定。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.