This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
用户帐户和密码管理
Citrix ADC 使您能够管理用户帐户和密码配置。以下是您可以为设备上的系统用户帐户或 nsroot
管理用户帐户执行的一些活动。
- 系统用户帐户锁定
- 锁定系统用户帐户进行管理访问
- 解锁锁定的系统用户帐户以进行管理访问
- 禁用系统用户帐户的管理访问
- 强制更改
nsroot
管理用户的密码 - 删除系统用户帐户中的敏感文件
- 系统用户的强密码配置
系统用户帐户锁定
要防止暴力安全攻击,您可以配置用户锁定配置。该配置使网络管理员能够阻止系统用户登录 Citrix ADC 设备。此外,还可以在锁定期限到期之前解锁用户帐户。
在命令提示符下,键入:
set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)
注意
必须启用 “PersistentLoginTerms” 参数才能获取不成功的用户登录尝试的持久存储的详细信息。
示例:
set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED
使用 GUI 配置系统用户帐户锁定
- 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA 设置。
-
在“配置 AAA 参数”页中,设置以下参数:
- 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
- 登录超时失败。用户尝试无效登录的最大次数。
- 持久登录尝试。持久存储不成功的用户登录尝试。
-
单击 OK(确定)。
设置参数后,用户帐户将被锁定 10 分钟,以进行三次或更多次无效登录尝试。此外,即使使用有效凭据 10 分钟,用户也无法登录。
注意
如果锁定的用户尝试登录到设备,
RBA Authentication Failure: maxlogin attempt reached for test.
将显示一条错误消息。
锁定系统用户帐户进行管理访问
Citrix ADC 设备使您能够将系统用户锁定 24 小时并拒绝对该用户的访问。
Citrix ADC 设备支持系统用户和外部用户的配置。
注意
只有在禁用
aaa
参数中的persistentLoginAttempts
选项时,才支持该功能。
在命令提示符下,键入:
set aaa parameter –persistentLoginAttempts DISABLED
现在,要锁定用户帐户,请在命令提示符下键入:
lock aaa user test
使用 GUI 锁定系统用户帐户
-
导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA 设置。
- 在“配置 AAA 参数”中的“持久登录尝试”列表中,选择“禁用”。
- 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
- 选择一个用户。
-
在“选择操作”列表中,选择“锁定”。
注意
Citrix ADC GUI 没有锁定外部用户的选项。要锁定外部用户,ADC 管理员必须使用 CLI。 当锁定的系统用户(使用锁定身份验证、授权和审核用户命令锁定)尝试登录 Citrix ADC 时,设备将显示错误消息 “RBA 身份验证失败:用户测试被锁定 24 小时”。
当用户被锁定以登录管理访问权限时,控制台访问权限将被豁免。锁定的用户能够登录控制台。
解锁锁定的系统用户帐户以进行管理访问
使用锁定身份验证、授权和审核用户命令可以将系统用户和外部用户锁定 24 小时。
注意
ADC 设备允许管理员解锁锁定的用户,该功能不需要在“持久登录尝试”命令中进行任何设置。
在命令提示符下,键入:
unlock aaa user test
使用 GUI 配置系统用户解锁
- 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
- 选择一个用户。
-
单击“解锁”。
Citrix ADC GUI 仅列出在 ADC 中创建的系统用户,因此 GUI 中没有解锁外部用户的选项。要解锁外部用户, nsroot
管理员必须使用 CLI。
禁用系统用户帐户的管理访问
如果在设备上配置了外部身份验证,并且作为管理员,您希望拒绝系统用户登录管理访问权限的访问权限,则必须禁用系统参数中的 LocalAuth 选项。
在命令提示符下,键入以下内容:
set system parameter localAuth <ENABLED|DISABLED>
示例:
set system parameter localAuth DISABLED
使用 GUI 禁用对系统用户的管理访问
- 导航到配置 > 系统 > 设置 > 更改全局系统设置。
-
在命令行界面 (CLI) 部分中,取消选中本地身份验证复选框。
通过禁用该选项,本地系统用户将无法登录 ADC 管理访问。
注意
必须配置外部身份验证服务器并可访问,才能在系统参数中禁止本地系统用户身份验证。如果在 ADC 中配置的用于管理访问的外部服务器无法访问,则本地系统用户可以登录到设备。该行为是为了恢复目的而设置的。
强制管理用户更改密码
对于 nsroot
安全身份验证,Citrix ADC 设备会提示用户将默认密码更改为新密码(如果在系统参数中启用了 forcePasswordChange
选项)。您可以在首次使用默认凭据登录时从 CLI 或 GUI 更改 nsroot
密码。
在命令提示符下,键入:
set system parameter -forcePasswordChange ( ENABLED | DISABLED )
NSIP 的 SSH 会话示例:
ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #
###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->
删除系统用户帐户中的敏感文件
要管理敏感数据,如系统用户帐户的授权密钥和公钥,必须启用 removeSensitiveFiles
选项。启用系统参数时删除敏感文件的命令包括:
- rm cluster instance
- rm cluster node
- rm high availability node
- clear config full
- join cluster
- add cluster instance
在命令提示符下,键入:
set system parameter removeSensitiveFiles ( ENABLED | DISABLED )
示例:
set system parameter -removeSensitiveFiles ENABLED
系统用户的强密码配置
对于安全身份验证,Citrix ADC 设备会提示系统用户和管理员设置强密码以登录到设备。密码必须长且必须是以下内容的组合:
- 一个小写字符
- 一个大写字符
- 一个数字字符
- 一个特殊角色
在命令提示符下,键入:
set system parameter -strongpassword <value> -minpasswordlen <value>
其中,
Strongpassword
。启用强密码 (enable all
/enablelocal
) 后,所有密码或敏感信息必须具有以下条件:
- 至少 1 个小写字符
- 至少 1 个大写字符
- 至少 1 个数字字符
- 至少 1 个特殊角色
排除 enablelocal
中的列表为 - NS_FIPS
、NS_CRL
、NS_RSAKEY
、NS_PKCS12
、NS_PKCS8、NS_LDAP、NS_TACACS
、NS_TACACSACTION
、NS_RADIUS
、NS_RADIUSACTION
、NS_ENCRYPTION_PARAMS
。因此,系统用户不会对这些 ObjectType 命令执行强密码检查。
可能的值:enableall
、enablelocal
、disabled
默认值:disabled
minpasswordlen
。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认最小值为 1。在这两种情况下,最大值都是 127。
最小值:1 最大值:127
示例:
set system parameter -strongpassword enablelocal -minpasswordlen 6
默认用户帐户
管理员可以使用 nsrecover
用户帐户恢复 Citrix ADC 设备。如果默认系统用户 (nsroot
) 由于任何不可预见的问题无法登录,您可以使用 nsrecover
登录 ADC 设备。nsrecover
登录信息独立于用户配置,可让您直接访问 shell 提示符。无论是否达到最大配置限制,您始终都可以通过 nsrecover
登录。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.