out de cryptage OTP

À partir de la version 13.0 build 41.20 de Citrix ADC, les données secrètes OTP sont stockées dans un format crypté au lieu de texte brut pour une sécurité renforcée。Le stockage d 'un secret OTP au format crypté est automatique et ne nécessite aucune intervention manuelle。

奥帕拉文特，设备Citrix ADC是一个秘密的OTP形式的文本，而不是活动目录。Le stockage d 'un secret OTP au format texte brut représentait une menace pour la sécurité， car un atttaquant malveillant ou un行政人员peut剥削者les données en顾问Le secret partagé d 'autres utilisateurs。

L 'outil de chiffment OTP offre les avantances suants:

• N 'entraîne aucune perte de données, même si vous possédez d ' ancient appareils utilisant un ancient format(文本brut)。
• La prise en charge de La rétrocompatibilité avec une une古城版本de Citrix Gateway permet d 'intégrer et de prendre en charge les服装，ainsi que le nouvel服装。
• 行政助理人员à移民人员données secrètes行政助理人员à福利人员。

标记

L 'outil de chiffment OTP一个chiffre ni ne déchiffre les données d ' enregistrment KBA ou d ' enregistrment des电子邮件。

利用de l 'outil de chiffe3

葡萄酒外包装:être utilisé pour les opérations suivantes:

• Chiffrement．Stockez le secret OTP dans un format crypté。L ' outtil extrit les données OTP des服装enregistrés auprès de Citrix ADC, puis转换器données OTP au格式文本brut au格式crypté。
• Decryptage．Rétablissez le代码秘密OTP au格式文本brut。
• Mettre à jour les证书．巴黎的管理员们都在发证书à jour le certificate at vers un nouveau certificate at à tout moment。我们的管理者和利用者我们的新证书和仪表的入口à我们的新证书entrées我们的新证书données。Le chemin d 'accès au certificat doit être soit un chemin absolute, soit un chemin relative。

重要的

• Vous deactiver le paramètre de chiffary dans l 'appliance Citrix ADC倾倒利用器l ' outtil chiffary OTP。
• Pour les appareils enregistrés auprès de Citrix ADC avant la version 41.20, vous devez effectuer les opérations suivantes:
  • 将13.0 Citrix ADC设备升级到13.0版本41.20。
  • 在设备上启用加密参数。
  • 使用OTP Secret迁移工具将OTP秘密数据从纯文本格式迁移到加密格式。

Données secrètes OTP au格式文本brut

为例:

#@devicename=<16或更多字节>&tag=<64字节>&，

Comme vous pouvez le constater, le motif de départ d 'un古老的格式est toujours«#@»让le motif de fin est toujours«&»。tunes les données entre«devicename=»et end模式组成les données OTP de l 'utilisateur。

Données secrètes OTP au格式crypté

新格式crypté des données OTP est au格式:

为例:

{" otpdata ":{"设备":{“device1”:“value1”、“device2”:“value2 ”, ... } } } 

Où valeur1 est une valeur codée en base64 des données kid+IV+cipher

Les données chiffrées sont structurées comme西装:

{secret:<16字节的秘密>，tag:< 64字节的标记值> alg: <使用的算法>(不是必选的，默认是sha1，如果不是默认则指定算法)}

• Dans«服装»，vous avez une une une valeur pour chque nom. La valeur est base64encode (kid) .base64encode (IV) .base64encode (données chiffrées)。
• Dans les算法AES标准，IV est toujours envoyé 16欧32素数八字节données de chiffire。Vous pouvez suivre le même modèle。
• 四diffère pour chque appareil bien que la clé soit la même。

配置de l ' outtil de chiffe3 OTP

标记

倒exécuter l 'outil de cryptage OTP, Citrix vous recommended d 'utiliser une autre plate-forme avec un环境Python au lieu de l 'appliance Citrix ADC。

L 'outil de chiffment OTP se trouve dans le répertoire\ var \ netscaler \ otptool．Vous devez télécharger le code à partir de la source Citrix ADC et exécuter l 'outil avec les信息d 'identification AD要求。

• 条件préalables à l ' use de l ' outtil de chifftp:
  • 安装版本Python 3.5 ou supérieure dans l ' environment dans lequel cet outil est exécuté。
  • 安装pip3 ou une版本ultérieure。
• Exécutez les commandes suivantes:
  • PIP安装要求。txt．根据需要安装自动化设备
  • Fichier main.py de python．aple l 'outil de chiffment OTP。Vous devez fournir les argument requis en function de votre besoin de migration des données secrètes OTP。
• L 'outil peut être situé à\ var \ netscaler \ otptoolPartir d 'une invite de shell。
• Exécutez l 'outil avec les信息识别AD要求。

接口de l ' outtil de chiffing OTP

La figure suivante présente un sample d 'interface d 'outil de chiffment OTP。L 'interface tous les arguments qui doivent être définis pour le chiffment /le déchiffrement/la mise à niveau du certificate。En oute, une brève描述de chaque argument est capturée。

参数操作

Vous devez définir l 'argument操作，使用，提供，提供，提供，提供，提供，déchiffrement ou la mise à niveau du certificat。

这样的场面récapitule某些东西scénarios这样的场面可以利用这些东西，这些东西有价值，有理由行动的记者们。

论点CERT_PATH

L 'argument CERT_PATH est unfichier contenle certificate quest utilisé dans Citrix ADC pour chiffrer les données。L 'utilisateur doit fournir cet argument pour les trois opérations， à savoir les**证书,德dechiffrementEt de mise à jour**。

Le fichier d 'arguments CERT_PATH doit contenir à la fois Le certificate et la clé privée associée au format PEM ou CERT (pfx n 'est pas pris en charge)。

例如，si les fichiers证书。证书等证书。关键通讯员au fichier de certificate et à sa clé privée, dans un système similaire à Unix, la commande suivante crée le fichiercertkey.mergedQui peut être utilisé comme valeur pour l 'indicateur cert_path。

$ cat证书。cert证书。> certkey。合并$ 

积分à noter sur le certificat

• L 'utilisateur doit fournir le même证书查询lié全球dans L 'appliance Citrix ADC pour le cryptage des données utilisateur。
• Le certificate at doit contenir Le certificate at public codé Base64 et sa clé privée RSA通信dans Le même fichier。
• 证书格式être PEM ou CERT.证书格式为X509。
• 证书格式protégé par mot de passe et Le fichier.pfxNe sont pas acceptés par cet outtil。L 'utilisateur doit converr les证书PFX en.certAvant de fournir les证书à l 'outil。

论点SEARCH_FILTER

L 'argument SEARCH_FILTER est utilisé pour filtrer les domaines AD ou les utilisateurs。Le format de de filter de recherche est Le même que celui du filter de recherche LDAP utilisé dans la mandd 'action LDAP丹斯l 'appliance思杰ADC。

激活l 'option de chiffment dans l 'appliance Citrix ADC

倒的chiffrer le格式的文本的brut，您deactiver l 'option de cryptage dans l 'appliance Citrix ADC。

Pour activer les données de chiffire OTP à l 'aide de l 'interface de ligne de command， à l 'invite de command, tapez:

设置aaa otpparameter [-encryption (ON | OFF)]

为例:

设置aaa otpparameter -encryption ON

Cas d ' use de l 'outil de chiffment OTP

L 'outil de chiffment OTP peut être utilisé pour les cas d ' use suants。

注册新服装avec l 'appliance Citrix ADC版本13.0构建41.20

Lorsque vous enregistrez votre nouvel appareil auprès de l 'appliance Citrix ADC版本13.0 build 41。x, et si l 'option de cryptage est activée, les données OTP sont enregistrées dans un format crypté。Vous pouvez éviter toute干预manuelle。

Si l 'option de cryptage n 'est pas activée, les données OTP sont stockées au格式文本brut。

Migrer les données OTP pour les appils enregistrés avant la version 13.0 build 41.20

Vous dedetuer les opérations suivantes pour chiffrer les données secrètes OTP pour les appareils enregistrés auprès de l’appliance Citrix ADC avant la version 13.0 build 41.20。

• Utilisez l 'outil de转换倒migrer les données OTP du格式文本brut au格式crypté。
• Activez le paramètre«加密»sur l 'appliance Citrix ADC。
  • Pour activer l 'option de cryptage à l 'aide de la CLI:
    • 设置aaa otpparameter -encryption ON
  • Pour activer les options de chiffment à l 'aide de l 'interface graphique:
    • Accedez一Sécurité > AAA -应用流量Et cliquez sur修饰语le paramètre OTP AAAd ' authentication sous la section Paramètres d ' authentication．
    • Sur la page配置le paramètre OTP AAA, selectionnezchiffary secret OTP， puis cliquez sur好吧．
  • 信息和身份都是有效的。
  • Si nécessaire, enregistrez d 'autres appareils(教员)。

Migrer les données cryptées d 'un老证书over un新证书

巴黎城郊的行政人员à巴黎的新证书，巴黎的新证书à巴黎的新证书entrées de données de证书。

Pour mettre à jour le certificate at en un nouveau à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

为例:

python3 main.py -Host 192.0.2.1 -Port 636 -username ldapbind_user@aaa.local -search_base cn=users,dc=aaa,dc=local -source_attribute unixhomedirectory -target_attribute userparameters -operation 2 -cert_path aaatm_wild_all. cn=users,dc=aaa,dc=localCert -new_cert_path aaatm_wild_all_new.cert

标记

• Les certificates doivent commporter des clés privées et publicles。
• 执行，la fonctionnalité n 'est fournie que pour OTP。

Rechiffrer ou migrer vers un nouveau certificat pour les服装enregistrés après la mise à niveau de l 'appliance vers la版本13.0 build 41.20 avec chiffary

服装用品行政管理部门déjà chiffrés自带证书及仪表à自带证书自带新证书。

Reconvertir les données cryptées au格式文本brut

L ' administreur peut déchiffrer le secret OTP et le rétablir au格式文本brut d ' origin。L ' til de cryptage OTP分析tous les utiisateurs à la recherche d 'un秘密OTP格式crypté et les convertit au格式déchiffré。

Pour mettre à jour le certificate at en un nouveau à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

为例:

python3 main.py -Host 192.0.2.1 -Port 636 -username ldapbind_user@aaa.local -search_base cn=users,dc=aaa,dc=local -source_attribute unixhomedirectory -target_attribute userparameters -operation 1 

Résolution des problèmes

L 'outil génère les fichiers journaux suivants。

• 文件app.log．寄售原则étapes d 'exécution让信息让错误，让避免让错误échecs。
• 文件unmodified_users.txt．欧洲大陆使用特色的名称列表été mis à新文本的文本格式crypté。cesjournaux sont générés à une erreur de format ou peuvent être dus à une autre autre有理。