Citrix ADC

看到PDF

Réinitialisation du mot de pass

2022年9月27日

Contributeur:

La réinitialisation en libre-service des mots de pass est une solution Web de geentition des mots de pass Il est disponible à La fois dans les fonctionnalités d ' authentication, d 'autorisation et d 'audit de l 'appliance Citrix ADC et de Citrix Gateway。Il élimine la dépendance de l ' utilisateur à l ' égard de l ' assistance de l ' administrateur pour changt le mot de pass。

La réinitialisation en libre-service du mot de passe permet à l 'utilisateur final de réinitialiser ou de créer un mot de passe en toute sécurité dans les scénarios suivants:

L 'utilisateur a oublié le mot de pass。
L 'utilisateur n 'est pas en measure de se connecter。

Jusqu ' à présent, si un utilisateur final oublie un mot de pass AD, il devait contact l ' administrateur AD pour réinitialiser le mot de pass。Grâce à la fonctionnalité de réinitialisation自由服务之路，最后的道路réinitialiser没有干预之路，行政管理之路。

法国利用优势的肯定声音réinitialisation自由服务:

Productivité accrue grâce au mécanisme自动改变时间，qui élimine le délai利用时间pour la réinitialisation du mot de past。
Grâce au mécanisme关于自动修改的问题，关于行政管理的问题tâches评论。

这幅图画说明了这一过程réinitialisation这是自由之路-服务之路réinitialiser这是自由之路。

分娩流量

Pour utiliser la réinitialisation en libre-service des mots de pass, un utilisateur doit être inscripit auprès de l ' authentication, de l 'autorisation et de l 'audit Citrix ou auprès du servur virtuel Citrix Gateway。

La réinitialisation en libre-service des mots de pass fournit les fonctionnalités suivantes:

新使用人员自动登记。Vous pouvez Vous inre vous-même在使用新事物时。
配置的问题basées sur les connaisances。你是我的行政长官，你是我的行政长官，我是你的行政长官，我是你的行政长官。
信息认证登记。你有我的身份，我的铭文。L 'OTP est envoyé à L 'autre address e-mail car L 'utilisateur a oublié le mot de passe de L 'ID de messagerie principal。

标记:

À partir de la版本12.1 build 51。Xx, l ' enregistration d 'UN autre identite de messagerie peut être effectué de manière自治。Un nouveau schéma de connexion，AltEmailRegister.xml， est introduction pour effectuer unique l ' registrment d 'UN autre identity de messagerie。Auparavant, l ' registration d 'un autre identified e-mail ne pouvait être effectué que lors de l ' registration KBA。
Réinitialisez le mot de passe oubliéL 'utilisateur peut réinitialiser le mot de pass en répondant aux question basées sur les connaisances。我是行政人员，你是配置人员和库存人员。

La réinitialisation自由服务法国新二人世界mécanismes d '认证suivants:

问题et réponse basées sur les connaissances。Vous devez Vous inscrire auprès de l ' authentication, de l ' auisation et de l 'audit Citrix ou auprès d 'un Citrix Gateway avant de sélectionner le schéma de questions et réponses basé sur les connaissances。
认证OTP标准电子邮件。Un OTP est envoyé à l 'autre address e-mail, que l 'utilisateur a enregistrée lors de l ' enregiment de réinitialisation du mot de passe en libre-service。

标记

Ces mécanismes d ' authentication peuvent être utilisés pour les cas d 'utilisation de réinitialisation de mot de pass en libreservice, et à toutes d ' authentication similaires à l 'un des mécanismes d ' authentication existants。

其实条件

先锋配置者réinitialisation自由服务，vérifiez条件préalables suivantes:

Fonctionnalité Citrix ADC版本12.1,build 50.28。
2016年、2012年和2008年的“域名功能奖”。
Le nom d 'utilisateur LDAPBind lié à Citrix ADC doit disposer d 'un accès en écriture au chemin d 'accès AD de l 'utilisateur。

标记La réinitialisation du mot de pass en liberty -service est prise en charge dans le flux d ' authentication nFactor unique。倒加d '信息，陪审员通过Citrix ADC进行身份验证．

限制

国家限制的声音réinitialisation自由服务:

La réinitialisation LDAP授权授权服务后端认证认证La réinitialisation LDAP(协议LDAP)。
L 'utilisateur ne peut pas voir L 'autre地址e-mail déjà enregistrée。
Les questions et réponses basées sur Les connaisances, ainsi que l ' authentication et l ' enregistration OTP par e-mail ne peuvent pas être le premier facteur du flux d ' authentication。
Pour le plug-in natif et Receiver, l ' enregiment est pris en charge uniquement via le navigateur。
La taille minimale du certificate utilisée pour La réinitialisation en libres -service des mots de pass est de 1 024 octets et doit respecter La规范x.509。
Seul un certificate est pris en charge pour la réinitialisation des mots de pass en free -service。

Paramètre活动目录

Les questions et réponses basées sur Les connaisances Citrix ADC et l 'OTP par e-mail utilisent un attribute AD pour stocker Les données des utilisateurs。Vous devez configurer un attribute AD pour stocker les questions et les réponses ainsi que l 'autre ID d 'e-mail。L 'appliance Citrix ADC le stocke dans L ' attribute de base de connisances configuré de L 'objet utilisateur AD。Lors de la configuration d 'un attribute AD, prenez en compte les points suivants:

La longueur de l ' attribute doit être d 'au moins 128 caractères。
32科最漫长的日子里，有一件事要做。
Le type d ' attrbut doit être un«DirectoryString»。
Un seul attribute AD peut être utilisé pour les questions et réponses basées sur les connaisances et l ' identiant de messagerie secondaire。
Un seul attribute AD ne peut pas être utilisé pour l ' enregistration d 'un OTP本地问题和réponse basées sur les connaisances ou d 'un autre identity de messagerie。
L ' administreur LDAP Citrix ADC doit disposer d 'un accès en écriture à L ' attrbut AD sélectionné。

Vous pouvez également utiliser un attribute AD existant。独立的，有保证的，有能力的prévoyez有能力的utilisé有能力的。例如，UserParameters est unattribubut existant au sein de l 'utilisateur AD que vous pouvez utiliser。倒vérifier cet attribute, effectuez les opérations suivantes:

Accedez一ADSI > sélectionnez un utilisateur．
Cliquez avec le bouton on droit de la souris and faites défiler l ' écran
丹麦的volet de fenêtreCN = TestUser属性“你是我的权利”UserParametersN 'est pas défini。

产品utilisateur

自由登记服务réinitialisation du mot

思杰转换器转换器，转换器转换器opérations配套设备:

登记自由服务pour la réinitialisation du mot de passe(问题et réponse/身份电子邮件basées sur les connaissances)。
Page d 'ouverture de session de l 'utilisateur (pour la réinitialisation du mot de pass, qui inclut la validation OTP par e-mail basée sur les connaisances et le facteur de réinitialisation du mot de pass final)。

Un catalogue de questions prédéfinies est fourni sous forme de fichier JSON。En tant qu ' administreur, vous pouvez sélectionner les questions et créer le schéma de connexion d ' enregiment de réinitialisation du mot de pass En libre-service via l 'interface graphique Citrix ADC。你有多多的选择:

Sélectionnez un maximum de quatre questions définies par le système。
使用工具possibilité二人问题等réponses。

Pour afficher le fichier JSON des questions basées sur les connaisances par défaut à partir de la CLI

JSON

标记

Citrix网关包括l 'ensemble des问题définies par le système par défaut。L 'administrateur peut modifier le fichier«KBQuestions。包括选择的问题。

Les questions définies par le système s 'affichent uniquement en anglais et la prise en charge de la localization linguistique n 'est pas disponible pour ces questions。

Pour terminer l ' enregistration des questions et réponses basées sur les connaissances Schéma de connexion à l 'aide de

Accedez一Sécurité > AAA -流量des应用> Schéma de连接．
Sur la pageSchéma de connexion， cliquez sur的资料．
双击苏尔Ajouter un schéma de connexion d ' enregiment KBA．
Sur la pageCréer un schéma de connexion d ' authentication， spécifiez UN nom dans le champNom du schéma．
Sélectionnez les questions de votre choix et déplacez-les dans la liste配置．
丹斯拉节问题définies par l 'utilisateur， vous pouvez fournir des questions et des réponses dans les champs Q1 et A1。
丹斯拉节通过电子邮件注册， cochez l 'optionEnregistrer un autre电子邮件．Vous pouvez enregisterr lID电子邮件à在我们的网页上，在我们的会议上，在我们的使用中，在我们的回复中。
双击苏尔克里尔．Le schéma de connexion une fois généré affiche toutes les questions configurées à l 'utilisateur最后的吊坠Le过程d '题词。

Création d 'un劳动登记和使用问题

Les éléments suivants sont requis avant de commencer la配置:

地址IP attribuée au server virtuel d ' authentication
FQDN对应à l ' address IP attribuée
服务器虚拟认证

倒配置页登记和服装问题，你的服务虚拟认证。使用登记附图。

服装登记

倒créer un server virtuel d ' authentication

配置unserver virtual d ' authentication。Il doit être de type SSL et assurez-vous de lier l ' authentication server virtuel avec le thème du portail。
```
> add authentication vserver  SSL   > bind authentication vserver  [-portaltheme]
```

配对证书clés服务器证书虚拟SSL。

>绑定ssl vserver  certkeyName

为例:

                > add authentication vserver authvs SSL 1.2.3.4 443 > bind authentication vserver authvs -portaltheme RFWebUI > bind SSL vserver authvs -certkeyname c1 . add authentication vserver authvs SSL 1.2.3.4 443
               

Pour créer une action d 'ouverture de session LDAP

              > add authentication ldapAction  {-serverIP  [-serverPort ] [-ldapBase ] [-ldapBindDn ] [-ldapBindDnPassword ] [- ldploginname ]
             

标记

Vous pouvez configure n 'importe quelle stratégie d ' authentication en tant que premier facteur。

为例：

              > add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapoginname samAccountName -serverPort 636 -sectype SSL -KBAttribute userParameters
             

Pour créer une stratégie d ' authentication Pour l 'ouverture de session LDAP

> add authentication policy   [


            为例：
            
             
              > add认证策略ldap_logon -rule true -action ldap_logon_action
             
            
            倒créer une action d ' enregiment de questions et réponses basée sur les connaissances
            Deux nouveaux paramètres sont介绍danldapAction．KBAttributepour l ' authentication KBA(注册等验证)等alternateEmailAttrPour l ' enregistrment de l 'autre address E-mail de l 'utilisateur。
            
             
              > add authentication ldapAction  {-serverIP  [-serverPort ] [-ldapBase ] [-ldapBindDn ] [-ldapBindDnPassword ] [- ldapoginname ] [-KBAttribute ] [-alternateEmailAttr ]
             
            
            为例：
            
             
              > add authentication ldapAction ldap1 -serverIP 1.2.3.4 -sectype ssl -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapoginname samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters
             
            
            Afficher l ' écran登记和使用问题
            Le schéma de connexion " KBARegistrationSchema.xml " est utilisé pour afficher la page d ' enregiment de l 'utilisateur à l 'utilisateur final。使用接口接口的命令与连接schéma连接。
            
             
              > add authentication loginSchema  -authenticationSchema  .使用实例
             
            
            为例：
            
             
              >添加authentication loginSchema kba_register -authenticationSchema /nsconfig/ loginSchema / loginSchema /KBARegistrationSchema.xml
             
            
            Citrix推荐双ux façons d ' afficher l ' écran d ' enregistrement et de gestion des utilisateurs: URL ou attribute LDAP。
            利用url
            Si le chemin d 'accès de l 'URL continental«/register»(举例说明，https://lb1.server.com/register)， la page d ' enregiment de l 'utilisateur s 'affiche à l 'aide de l 'URL。
            倒créer et lier une stratégie d '铭
            
             
              > add authentication policylabel user_registration -loginSchema kba_register > add authentication policy ldap1 -rule true -action ldap1 > bind authentication policylabel user_registration -policy ldap1 -priority 1 .使用实例
             
            
            Pour lier la stratégie d ' authentication à l ' authentication, l ' autorisation et l ' audit du servur virtuel lorsque l ' url continent ' /register '
            
             
              >添加认证策略ldap_logon -rule "http.req.cookie.value(\"NSC_TASS\").contains(\"register\")"-action ldap_logon > bind authentication vserver authvs -policy ldap_logon -nextfactor user_registration -priority
             
            
            Pour lier un certificat au VPN global
            
             
              绑定vpn global -userDataEncryptionKey
             
            
            
             标记
             
              Vous devez lier le certificate pour chiffrer les données utilisateur (Q&R de la base de connaisissances et autre ID e-mail enregistré) stockées dans l ' attribute AD。
              证书已过期，其他证书尚未生效à新注册。
             
            
            属性的利用
            Vous pouvez lier une stratégie d ' authentication au server virtuel d ' authentication, d 'autorisation et d 'audit pour vérifier si l 'utilisateur est déjà inscrit ou non。Dans ce flux, l 'une des stratégies précédentes先行者登记问题和réponses basé关于琐事être LDAP avec l ' attribute KBA configuré。Ceci permet de vérifier si l 'utilisateur AD est enregistré ou n 'utilise pas un attribute AD。
            
             重要的
             La règle " AAA.USER.ATTRIBUTE(" kba_registered "). eq(" 0 ") "义务les nouveaux utilisateurs à s 'inscrire aux question et réponses basées sur les connaissances et aux e-mail alternatifs。
            
            倒créer une stratégie d ' authentication afin de vérifier si l 'utilisateur n 'est pas déjà铭文
            
             
              >添加认证策略switch_to_kba_register -rule "AAA.USER.ATTRIBUTE(\"kba_registered\").EQ(\"0\")"-action NO_AUTHN > add认证策略first_time_login_forced_kba_registration -rule true -action ldap1 .使用实例
             
            
            倒créer une étiquette de stratégie d 'enregistrement et la lier à la stratégie d ' enregiment LDAP
            
             
              > add authentication policylabel auth_or_switch_register -loginSchema LSCHEMA_INT > add authentication policylabel kba_registration -loginSchema kba_register > bind authentication policylabel auth_or_switch_register -policy switch_to_kba_register -priority 1 -nextFactor kba_registration > bind authentication policylabel kba_registration -policy first_time_login_forced_kba_registration -priority 1
             
            
            Pour lier la stratégie d ' authentication à l ' authentication， à l 'autorisation et à l 'audit du serveur virtuel
            
             
              绑定认证vserver authvs -policy ldap_logon -nextfactor auth_or_switch_register -priority
             
            
            登记使用和验证问题
            Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devez voir l ' écran d ' interface utilisateur suivant。
            
             entrz l 'URL du servur virtuel lb;比如,https://lb1.server.com．L ' écran d ' ouverture de session s ' affiche。

             请原谅我的笔名和笔名。双击苏尔提交．L 'ecran登记使用'affiche。

             Sélectionnez la问题préférée dans la liste déroulante et saisissez la响应．
             双击苏尔提交．L ' écran登记réussi de L ' utilisateur s ' affiche。
            
            页面配置会话使用
            Dans cet举例，l 'administrateur suppose que le primary facteur est l 'ouverture de session LDAP (pour laquelle l 'utilisateur final a oublié le mot de pass)。L 'utilisateur suit ensuite L ' enregiment des question et réponses basées sur les connaisances et la validation OTP de L 'ID e-mail, puis réinitialise le mot de pass à L 'aide de la réinitialisation en libre-service du mot de pass。
            Vous pouvez utiliser n 'importe quel mécanisme d ' authentication pour la réinitialisation en libre-service du mot de pass。Citrix推荐d 'avoir une question et une réponse basées sur les connaissances et un OTP par e-mail ou les deux pour garantir une confidentialité renforcée et éviter toute réinitialisation illégitime du mot de passe utilisateur。
            Les éléments会议负责人à会议负责人:
            
             地址IP pour le server virtuel d ' équilibrage de charge
             笔名域名完整通讯员au server virtuel d ' équilibrage de charge
             服务证书équilibreur de charge
            
            Créer un server virtuel d ' équilibrage de charge à l ' aide de l ' interface
            倒accéder au site Web internet, vous devez créer un server virtuel LB倒faire face au service principal et déléguer la logique d ' authentication au server virtuel d ' authentication。
            
             
              > add lb vserver lb1 SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs > bind SSL vserver lb1 -certkeyname c1 . SSL 1.2.3.162
             
            
            倒représenter le服务负责人dan l ' équilibrage de charge:
            
             
              > add service iis_backendsso_server_com 1.2.3.4 HTTP 80 > bind lb vserver lb1 iis_backendsso_server_com
             
            
            Créer une action LDAP avec l ' authentication désactivée en tant que première stratégie
            
             
              > add authentication ldapAction ldap3 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldploginname samAccountName -authentication disabled > add authentication policy ldap3 -rule aaa.LOGIN.VALUE("passwdreset").EQ("1") -action ldap3
             
            
            Créer une action de validation des questions et réponses basée sur les connaisances
            Pour la validation des questions et réponses basée sur les connaisissances dans le flux de réinitialisation en bre-service des mots de pass, vous devez configure le server LDAP avec l ' authentication désactivée。
            
             
              > add authentication ldapAction  - serverip  - serverport  - ldapbase  - ldapbinddn  - ldapbinddnpassword  - ldploginname  - kbattribute  - alternateEmailAttr  -authentication DISABLED
             
            
            为例：
            
             
              > add authentication ldapAction ldap2 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapoginname samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters -authentication disabled
             
            
            倒créer une stratégie d ' authentication Pour la validation des questions et réponses basées sur les connaisissances à l 'aide de l 'interface
            
             
              增加认证策略kba_validation -rule true -action ldap2
             
            
            Création d 'une action de validation d 'e-mail
            LDAP doit être un facteur antérieur au facteur de validation de e-mail, car vous avoin de id e-mail de l 'utilisateur ou de l 'autre address e-mail dans le干部de registration de réinitialisation en en libre-service du mot de pass。
            
             标记:
             Pour que la solution OTP de messagerie function, assure -vous que l ' authentication basée sur la connexion est activée sur le server SMTP。
            
            Pour vous assureque l ' authentication basée sur la connexion est activée, tapez la command suivante sur le server SMTP。Si l ' authentication basée sur la connexion est activée, vous remarquez que le texte身份验证登录Apparaît en gras dans la sortie。
            
             
              root@ns# telnet < SMTP服务器的IP地址><服务器端口号> ehlo
             
            
            为例:
            
             
              root@ns# telnet 10.106.3.66 25 Trying 10.106.3.66…已连接到10.106.3.66。转义字符是'^]'。22e2k13.nsgsanity.com微软ESMTP邮件服务准备在星期五，2019年11月22日16:24:17 +0530 ehlo 250-E2K13.NSGSanity.com Hello [10.221.41.151] 250- size 37748736 250- pipelining 250- dsn 250- enhancedstatuscodes 250- starttls 250- x - anonymoustls 250- auth LOGIN 250- x - exps GSSAPI NTLM 250- 8bitmime 250- binarymime 250- chunking 250 XRDST
             
            
            提供激活认证信息basée，报告信息àhttps://support.microfocus.com/kb/doc.php?id=7020367．
            倾注配置une行动de message à l 'aide de l 'interface de ligne de command
            
             
              add authentication emailAction emailact -userName sender@example.com -password  -serverURL "smtps://smtp.example.com:25" -content "OTP is $code"
             
            
            为例:
            
             
              add authentication emailAction email -userName testmail@gmail.com -password 298a34b1a1b7626cd5902bbb416d04076e5ac4f357532e949db94c0534832670 -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://10.19.164.57:25" -content "OTP is $code" -emailAddress "aaa.user.attribute(\"alternate_mail\")"
             
            
            
             标记
             Le paramètre«EmailAddress»de la配置est une expression PI。Par conséquent, il est configuré pour prendre soit l 'ID e-mail de l 'utilisateur Par défaut de la session, soit l 'autre ID e-mail déjà enregistré。
            
            倒配置l 'ID de messagerie à l 'aide de
            
             Accedez一Sécurité > AAA - traffic des applications > stratégies > authentication > Stratégies avancées > Actions > Action d ' authentication par e-mail．双击苏尔Ajouter．
             Sur la pageCréer une action par e-mail d ' authentication， renseignez les détails, puis cliquez sur克里尔．

            
            倒créer une stratégie d ' authentication倒la validation des电子邮件à l 'aide de l 'interface
            
             
              添加认证策略email_validation -rule true -action email
             
            
            倒créer une stratégie d ' authentication倒le facteur de réinitialisation du mot de
            
             
              增加认证策略ldap_pwd -rule true -action ldap_logon_action
             
            
            Présentation de l 'interface utilisateur via le schéma de connexion
            我们存在着三个schémas我们的连接réinitialisation我们的自由之路réinitialiser我们的自由之路。Utilisez les commands CLI suivantes pour afficher les trois schémas de connexion:
            
             
              root@ns# cd /nsconfig/loginschema/ loginschema/ root@ns# ls -ltr | grep -i password -r——r——r——1 nobody wheel 2088 11月13日08:38 SingleAuthPasswordResetRem.xml -r——r——r——1 nobody wheel 1541 11月13日08:38 OnlyUsernamePasswordReset.xml -r——r——1 nobody wheel 1391 11月13日08:38 onypassword .xml
             
            
            倒créer une réinitialisation de mot de pass d ' authentication unique à l 'aide de l 'interface de ligne de command
            
             
              > add authentication loginSchema lschema_password_reset -authenticationSchema "/nsconfig/ loginSchema / loginSchema /SingleAuthPasswordResetRem.xml" > add authentication loginSchemaPolicy lpol_password_reset -rule true -action lschema_password_reset
             
            
            Créer des question et réponses basées sur les connisissances et enyer un facteur de validation OTP par e-mail via une étiquette de stratégie
            我是LDAP的首席顾问，您将会créer une question et une réponse basées负责沟通和特使étiquettes de stratégie OTP为我们提供顾问à我将会负责领导。
            
             
              > add authentication loginSchema lschema_noschema -authenticationSchema noschema > add authentication policylabel kba_validation -loginSchema lschema_noschema > add authentication policylabel email_validation -loginSchema lschema_noschema
             
            
            Créer un facteur de réinitialisation du mot de pass via l ' étiquette de stratégie
            Vous pouvez créer le facteur de réinitialisation du mot de passe via l ' étiquette de stratégie à l ' aide des commandes suivantes。
            
             
              > add authentication loginSchema lschema_noschema -authenticationSchema noschema > add authentication policylabel password_reset -loginSchema lschema_noschema > bind authentication policylabel password_reset -policyName ldap_pwd -priority 10 -gotoPriorityExpression NEXT
             
            
            Liez la question et la réponse basées sur les connaissances et la stratégie d 'e-mail aux stratégies créées précédemment à l 'aide des commandes suivantes。
            
             
              > bind authentication policylabel email_validation -policyName email_validation -nextfactor password_reset -priority 10 -gotoPriorityExpression NEXT > bind authentication policylabel kba_validation -policyName kba_validation -nextfactor email_validation -priority 10 -gotoPriorityExpression NEXT
             
            
            肝素通量
            会话启动LDAP doit être créé dans Le cadre de la stratégie认证启动LDAP。Dans ce flux, l 'utilisateur clique sur le lien Mot de pass oublié présenté sur la première page de connexion LDAP, puis sur la validation KBA, puis sur la validation OTP et enfin sur la page réinitialisation du Mot de pass。
            
             
              bind authentication vserver authvs -policy ldap3 -nextfactor kba_validation -priority 10 -gotoPriorityExpression NEXT
             
            
            倾述界面使用流量
            
             
              bind authentication vserver authvs -policy lpol_password_reset -priority 20 -gotoPriorityExpression结束
             
            
            工作流de连接utilisateur pour réinitialiser le mot de pass
            在工作过程中使用的声音réinitialiser过去的事:
            
             entrz l 'URL du servur virtuel lb;比如,https://lb1.server.com．L ' écran d ' ouverture de session s ' affiche。

             双击苏尔Mot de pass oublié．Un écran de validation affiche deux question sur Un maximum de six questions et réponses enregistrées pour Un utilisateur AD。

             Répondez aux questions, puis cliquez在联系．Un écran de validation OTP par e-mail dans level vous devez saisir l 'OTP reçu sur l 'autre address e-mail enregistrée s 'affiche。

             Entrez l 'OTP de l 'e-mail。Une fois la validation OTP de l 'e-mail réussie, la page de réinitialisation du mot de pass s 'affiche。

             这是过去的新概念，这是过去的新概念。双击苏尔提交．Une fois la réinitialisation du mot de pass réussie, l ' écran Réinitialisation du mot de pass réussie s ' affiche。

            
            你是pouvez désormais你是connecter à l 'aide du mot de pass de réinitialisation。
            Résolution des problèmes
            思杰建议提供选择权résoudre确定problèmes提供选择权和选择权réinitialisation提供自由选择权和选择权。La section suivante vous aide à résoudre sure des problèmes qui peuvent surisans des zones spécifiques。
            NS杂志
            先锋分析者le journal, il est recommandé de définir le niveau du journal pour le déboguer à l 'aide de la command suivante:
            
             
              > set syslogparams -loglevel DEBUG
             
            
            Enregistrement
            使用登记信息réussi。
            
             
              "ns_aaa_insert_hash_keyValue_entry key:kba_registered value:1" Nov 14 23:35:51  10.102.229.76 11/14/2018:18:05:51 GMT 0- ppp -1: default SSLVPN Message 1588 0:"ns_aaa_insert_hash_keyValue_entry key:alternate_mail value: eyj2zxjzaw9uijoimsisicjjlvqioiixbk1owjn0t2njlvvvzux6ndrwzfhxds01dta9iiwgimtlesi6ilniyw9ovlhknfhuqthkvv2ddcmjsv3pxqzres3qzmwxinuyxq0tysupxd0h4sfrizlwzjrrtjtm0ziyy1rzmlqc0tmevn2uhplegljc2hmvhzbcgvmzjy5du5iykytyxplqzjmtff1m3jinfvebzjasjdzz0qwtqvui3be1fyvnpexhnn1dsrkzxewtnovvnogppqvvzvklvvebhv4iiwgimfszyi6ikffuzi1nlhq00ifq ==.oKmvOalaOJ3a9z7BcGCSegNPMw=="
             
            
            验证des问题和réponses basée sur les connaisances
            Le message suivant indique une validation réussie des questions et réponses basée sur les connaisances。
            
             
              “NFactor:成功完成KBA验证，nextfactor是电子邮件”
             
            
            验证，id, courriel
            Le message suivant indique une réinitialisation réussie du mot de pass。
            
             
              "NFactor:成功完成电子邮件认证，nextfactor是pwd_reset"
             
            
            配置SSPR à l 'aide du visualiseur NFactor
            Avant de commencer la configuration SSPR, nous devons ajouter les servers LDAP suivants:
            
             服务器LDAP标准avec认证activée pour l ' authentication des utilisateurs et attrbut AD spécifié。

             服务器LDAP pour l 'extraction des paramètres utilisateur sans authentication。

             服务器LDAP pour la réinitialisation du mot de passe sur SSL无身份验证。En oute, l ' attribute AD à utiliser pour stocker les détails de l 'utilisateur doit être défini sur ce server。

             服务器LDAP pour l ' enregistrment des utilisateurs, avec身份验证activée et attribute AD spécifié

             完整的蒙特雷流动图:

             全球证书指南à l 'aide de la command CLI suivante:
              
               
                bind vpn global -userDataEncryptionKey通配符
               
              
            
            维护服务器LDAP sont ajoutés, procédez à la configuration de nFactor à l 'aide du visualiseur
            
             Accedez一Sécurité > AAA > traffic des applications > Visualiseur nFactor > Flux nFactor， cliquez surAjouterEt cliquez sur l 'icône加上à l 'intérieur de la zone。

             Donnez un nom au flux。

             双击苏尔Ajouter un schémaQui sert de schéma par défaut。双击苏尔AjouterSur la page du schéma de connexion。

             Après avoir donné un nom au schéma, sélectionnez-le。双击苏尔选择Dans le coin supérieur droit du schéma à sélectionner。

             双击苏尔克里尔， puis sur好吧．
            
            Une fois le schéma par défaut ajouté， nous devons配置les trois flux suivants:
            
             Enregistrement d 'utilisateur: pour l ' enregistry explicit des utilisateurs
             Réinitialisation杜莫特De passe: pour la réinitialisation
             Connexion normale + Vérification de l 'utilisateur enregistré:在巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎。Dans le cas où l 'utilisateur n 'est pas enregistré， il est redirigé vers la page d '题词。
            
            登记使用
            Reprenons là où nous sommes partis après avoir ajouté le schéma。
            
             双击苏尔添加政策， cela vérifie si l 'utilisateur essaie de s 'inscrire explicitement。

             双击苏尔克里尔， puis surAjouter．
             关于'icône与+»监督与认证与登记与使用之间的关系。

             双击苏尔克里尔．
             双击苏尔Ajouter une stratégie使用登记因素-1。

             Créez la stratégie d’authentication。Cette stratégie信息提取和使用等有效的先驱者重新标记的页面。

             双击苏尔克里尔， puis surAjouter．
             Cliquez维护'icône verte«+»pour créer一件事，一件事，一件事克里尔．双击苏尔Ajouter un schéma．

             Créez le schéma suivant。

             双击苏尔Ajouter une stratégieEt créez la stratégie d ' authentication suivante。

             双击苏尔克里尔， puis surAjouter．
            
            Réinitialisation杜莫特
            
             Cliquez sur l 'icône bleue«+»pour ajouter une autre stratégie (flux de réinitialisation du mot de passe) pour le facteur SSPR parent。

             双击苏尔AjouterEt créez une stratégie d’authentication。赛特stratégie est déclenchée si l 'utilisateur clique sur«Mot de passe oublié»sur la page de connexion。

             双击苏尔克里尔， puis surAjouter．
             Cliquez sur l 'icône verte«+»de la stratégie d ' authentication de réinitialisation du mot de pass afin d 'ajouter un autre facteur。

             双击苏尔克里尔．
             双击苏尔Ajouter une stratégie倒créer une stratégie d’authentication倒le facteur créé précédemment。Ce facteur sert à有效利用者。

             双击苏尔克里尔， puis surAjouter．
             Cliquez sur l 'icône verte«+»pour ajouter un autre facteur pour le flux de facteur de mot de pass, cela valide les réponses fournies pour réinitialiser le mot de pass。双击苏尔克里尔．

             双击苏尔添加政策浇ajouter une stratégie d ' authentication Pour le facteur。
             Sélectionnez la même stratégie d ' authentication dans le menu déroulant que nous avons créé précédemment, puis cliquez surAjouter．

            
            Connexion normale + Vérification de l 'utilisateur enregistré
            
             Cliquez sur l 'icône bleue«+»pour ajouter une autre stratégie d ' authentication (flux de connexion normal) au facteur SSPR parent。

             双击苏尔AjouterPour créer une stratégie d ' authentication Pour la connexion utilisateur normale。

             双击苏尔克里尔， puis surAjouter．
             Cliquez sur l 'icône verte«+»de la stratégie créée précédemment pour ajouter un autre facteur， à savoir le bloc de décision。双击苏尔克里尔．

             双击苏尔克里尔．

             双击苏尔Ajouter une stratégie倒créer une stratégie d’authentication倒ce facteur de décision。

             双击苏尔克里尔， puis surAjouter．Cela permet de vérifier si l 'utilisateur est enregistré ou non。
             Cliquez sur l 'icône verte«+»pour diriger l 'utilisateur vers la stratégie d ' enregistration。

             Sélectionnez le facteur d ' enregiment dans le menu déroulant et cliquez sur克里尔．

             Cliquez maintenant sur l 'icône blue«+»pour ajouter une autre stratégie au bloc de décision。赛特stratégie permet à l 'utilisateur enregistré de mettre fin à l '认证。

             双击苏尔添加政策倒créer une stratégie d’authentication。

             双击苏尔克里尔， puis surAjouter．


           
            
            
            
             官方文件的英文版本。特定文献资料été traduits de façon automatique à des pratiques unique ement。Citrix n' try auun contrôle依照惯例façon自动，依照错误原则，imprécisions语言inapproprié。Aucune garantie，明确的或隐含的，n'est fournie quant à l'正确，la fiabilité， la inence ou la justesse de toute traduction effectuée代理语言原文，ou quant à la conformité de votre product ou service Citrix à tout contenu traduit de façon自动，et toute garantie fournie en vertu du contract de licence de l'utilisateur最终使用条件适用于服务，ou de tout autre accord Citrix，定量à la conformité du producit ou service à toute documentation ne s'applique pas dans la measurement où cette documentation a été traduite de façon automatique。思杰(Citrix ne pourra) être负责任的管理方式problème dû à传统内容的利用方式façon自动。
            
            
             
              diesel dienst kann Übersetzungen enthalten, die von谷歌bereitgestellt werden。谷歌lehnt jede ausdrÜckliche oder stillschweigende gewÄhrleistung in bezug auf die Übersetzungen ab, einschliesslich jeglicher gewÄhrleistung der genauigkeit, zuverlÄssigkeit und jeglicher stillschweigenden gewÄhrleistung der marktgÄngigkeit, der eignung fÜr einen bestimmten zweck und der nichtverletzung von rechten dritter。
             
              贸易服务适用于同等条件下的贸易。谷歌排除担保相对惯例，表达你隐含的，y包含担保正确，fiabilitÉ等担保隐含qualitÉ马尔钱德，'adÉquation À未特殊用法和缺席contrefaÇon。
             
              Este servicio puede contener traducciones con tecnologÍa de谷歌。谷歌renuncia a todas las garantÍas relacionadas con las traducciones, tanto implÍcitas como explÍcitas, incluidas las garantÍas de准确，fiabilidad y otras garantÍas implÍcitas de comerciabilidad, idoneidad para UN fin en particular y ausencia de infracciÓn de derechos。
             
              本服务可能包含由谷歌提供技术支持的翻译。谷歌对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性,特定用途的适用性和非侵权性的任何暗示保证。
             
              このサ，ビスには，谷歌が提供する翻訳が含まれている可能性があります。谷歌は翻訳について,明示的か黙示的かを問わず,精度と信頼性に関するあらゆる保証,および商品性,特定目的への適合性,第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め,一切保証しません。
             
              Este serviÇo pode conter traduÇÕes fornecidas pelo谷歌。O谷歌se exime de todas as garantias relacionadas com as traduÇÕes, expressas ou implÍcitas, incluindo qualquer garantia de precisÃo, confiabilidade e qualquer garantia implÍcita de comercializaÇÃo, adequaÇÃo a um propÓsito especÍfico e nÃo infraÇÃo。


          
           
           贡献者须知


        
         
          
           
            
             Ce contenu a été traduit automatiquement de manière dynamique。
            
            
             Donnez votre avis ici
            
           
           
            
            
            谢谢您的评论
           
          
          
           
            
             
             Citrix ADC
             Citrix ADC 13.0
             对流量应用进行认证、授权和审计
            
           
          
          Réinitialisation du mot de pass
          
           
            
            2022年9月27日
            
             Contributeur:
              
              C
             
            
            
           
           
            
             
              
            
            
             
             
             
             
              部分
             
            
            
             
             
            
           
          
          
           
            
             
              
              2022年9月27日
              
               Contributeur:
                
                C
               
              
              
             
            
            
             
              
               
                
              
              
               
               
               
               
                部分
               
              
              
               
               
              
             
            
            
           
          
          
           
            
             
              丹斯cet文章
              
               
                其实条件
                限制
                Paramètre活动目录
                自由登记服务réinitialisation du mot
                Création d 'un劳动登记和使用问题
                Afficher l ' écran登记和使用问题
                登记使用和验证问题
                页面配置会话使用
                Résolution des problèmes
                配置SSPR à l 'aide du visualiseur NFactor
               
              
             
            
           
           
            
             
             贡献者须知


      
       
        
         
          
           
            
             Citrix预览文档
             
            
            
             此预览版产品文档是Citrix机密文档。
             您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
             预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定，如有更改，恕不另行通知或咨询。
             本文档仅供参考之用，不构成提供任何材料、代码或功能的承诺、承诺或法律义务，不应作为思杰产品购买决策的依据。
             如果不同意，选择“不同意退出”。
            
            
             
             
            
           
          
         
        
       
      
      
       
        
         
          
           
            
             Envoyez-nous vos commentary
             
            
            
             Cette traduction vous a-t-elle été utile ?
             
              
               
                
                 
                  
                 
                 是的
                
                
                 
                  
                 
                 非
                
               
              
             
             
              
               Écrire quelque选择了?
               
              
              
               
              
             
            
           
          
         
        
       
      
      
       Copie !
       Echec !