Réinitialisation du mot de pass

为例：

> add认证策略ldap_logon -rule true -action ldap_logon_action

倒créer une action d ' enregiment de questions et réponses basée sur les connaissances

Deux nouveaux paramètres sont介绍dans ldapaction。«KBatTribute»pour l ' authentication KBA(注册和验证)和«AlternateEmailAttr»pour l ' enregistrment de l 'ID e-mail alternatif de l 'utilisateur。

> add authentication ldapAction  {-serverIP  [-serverPort ] [-ldapBase ] [-ldapBindDn ] [-ldapBindDnPassword ] [- ldapoginname ] [-KBAttribute ] [-alternateEmailAttr ]

为例：

> add authentication ldapAction ldap1 -serverIP 1.2.3.4 -sectype ssl -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapoginname samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters

Afficher l ' écran登记和使用问题

Le schéma de connexion«KbaRegistrationSchema.xml»est utilisé pour afficher la page d ' enregiment de l 'utilisateur à l 'utilisateur final。使用接口接口的命令与连接schéma连接。

> add authentication loginSchema  -authenticationSchema  .使用实例

为例：

>添加authentication loginSchema kba_register -authenticationSchema /nsconfig/ loginSchema / loginSchema /KBARegistrationSchema.xml

Citrix推荐双ux façons d ' afficher l ' écran d ' enregistrement et de gestion des utilisateurs: URL ou attribute LDAP。

利用url

Si le chemin d 'accès à l ' url continent ' /register '(样例，https://lb1.server.com/register)， la page d ' enregiment de l 'utilisateur s 'affiche à l 'aide de l 'URL。

倒créer et lier une stratégie d '铭

> add authentication policylabel user_registration -loginSchema kba_register > add authentication policy ldap1 -rule true -action ldap1 > bind authentication policylabel user_registration -policy ldap1 -priority 1 .使用实例

Pour lier la stratégie d ' authentication à l ' authentication, l ' autorisation et l ' audit du servur virtuel lorsque l ' url continent ' /register '

>添加认证策略ldap_logon -rule "http.req.cookie.value(\"NSC_TASS\").contains(\"register\")"-action ldap_logon > bind authentication vserver authvs -policy ldap_logon -nextfactor user_registration -priority

Pour lier un certificat au VPN global

绑定vpn global -userDataEncryptionKey

标记

Vous devez lier le certificate pour chiffrer les données utilisateur (Q&R et ID de messagerie alternatif enregistré) stockées dans l ' attribute AD。

属性的利用

Vous pouvez lier la stratégie d ' authentication au server virtuel d ' authentication, d 'autorisation et d 'audit pour vérifier si l 'utilisateur est déjà inscrit ou non。Dans ce flux, toutes les stratégies précédentes avant le facteur d ' enregistration des questions et réponses basées sur les connisissances doivent être LDAP avec attribute KBA configuré。Ceci permet de vérifier si l 'utilisateur AD est enregistré ou n 'utilise pas un attribute AD。

重要的

La règle«AAA.USER.ATTRIBUTE(«kba_registered»). eq(«0”)»义务les nouveaux utilisateurs à s 'inscrire aux question et réponses basées sur les connaissances et aux e-mail alternatifs。

倒créer une stratégie d ' authentication倒vérifier si l 'utilisateur n 'est pas déjà enregistré

>添加认证策略switch_to_kba_register -rule "AAA.USER.ATTRIBUTE(\"kba_registered\").EQ(\"0\")"-action NO_AUTHN > add认证策略first_time_login_forced_kba_registration -rule true -action ldap1 .使用实例

倒créer une étiquette de stratégie d’enregiment et lier à la stratégie d’enregiment LDAP

> add authentication policylabel auth_or_switch_register -loginSchema LSCHEMA_INT > add authentication policylabel kba_registration -loginSchema kba_register > bind authentication policylabel auth_or_switch_register -policy switch_to_kba_register -priority 1 -nextFactor kba_registration > bind authentication policylabel kba_registration -policy first_time_login_forced_kba_registration -priority 1

Pour lier la stratégie d ' authentication à l ' authentication， à l 'autorisation et à l 'audit du serveur virtuel

绑定认证vserver authvs -policy ldap_logon -nextfactor auth_or_switch_register -priority

登记使用和验证问题

Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devriez voir les capture d ' écran de l ' interface utilisateur ci-dessous。

1. Entrez l 'URL lb vserver;比如https://lb1.server.com．L ' écran d ' ouverture de session s ' affiche。

   

2. 请原谅我的笔名和笔名。双击苏尔Soumettre．L 'ecran登记使用'affiche。

   

3. Sélectionnez la问题préférée dans la liste déroulante et entrez la响应．
4. 双击苏尔Soumettre．L ' écran d ' enregistrement de L ' utilisateur s ' affiche。

页面配置会话使用

Dans cet举例，l 'administrateur suppose que le primary facteur est l 'ouverture de session LDAP (pour laquelle l 'utilisateur final a oublié le mot de pass)。L 'utilisateur suit ensuite L ' en注册des question et réponses basée sur les connaissances et la validation OTP de L 'ID d 'e-mail et réinitialise finalfinment le mot de pass en utilisant la réinitialisation du mot de pass en libreb -service。

Vous pouvez utiliser n 'importe quel mécanisme d ' authentication pour réinitialiser le mot de pass en libre-service。思杰推荐d 'avoir une question et une réponse basées sur les connaissances, et d ' enerun e-mail à OTP ou le deux pour obtenir une confidentialité solide et éviter toute réinitialisation de mot de passe utilisateur illégitime。

Les éléments评论员的请求à使用者的页面:

• IP du server virtuel d ' équilibrage de charge
• FQDN通信pour le server virtuel d ' équilibrage de charge
• 服务证书équilibreur de charge

Créer un server virtuel d ' équilibrage de charge à l ' aide de l ' interface de ligne de command

倒accéder au site Web internet, vous devez créer un server virtuel LB倒accéder au service principal et déléguer la logique d ' authentication au server virtuel d ' authentication。

> add lb vserver lb1 SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs > bind SSL vserver lb1 -certkeyname c1 . SSL 1.2.3.162

倒représenter le服务负责人dan l ' équilibrage de charge:

> add service iis_backendsso_server_com 1.2.3.4 HTTP 80 > bind lb vserver lb1 iis_backendsso_server_com

Créer une action LDAP avec l ' authentication désactivée en tant que première stratégie

> add authentication ldapAction ldap3 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldploginname samAccountName -authentication disabled > add authentication policy ldap3 -rule aaa.LOGIN.VALUE("passwdreset").EQ("1") -action ldap3

Créer une action de validation des questions et réponses basée sur les connaisances

Pour la validation des questions et réponses basée sur les connaisissances dans le flux de réinitialisation des mots de pass se en libre-service, vous devez configure le server LDAP avec l ' authentication désactivée。

> add authentication ldapAction  - serverip  - serverport  - ldapbase  - ldapbinddn  - ldapbinddnpassword  - ldploginname  - kbattribute  - alternateEmailAttr  -authentication DISABLED

为例：

> add authentication ldapAction ldap2 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapoginname samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters -authentication disabled

倒créer une stratégie d ' authentication Pour la validation des questions et réponses basée sur les connaisissances à l 'aide de l 'interface de ligne de command

增加认证策略kba_validation -rule true -action ldap2

Créer une行动de验证par电子邮件

LDAP doit être un facteur antérieur au facteur de validation des e-mail car vous avoin de l 'ID e-mail de l ' utiliseur ou de l 'ID de message agerie second - aire dans le cadre de registration de réinitialisation du mot de pass en libreservice。

标记:

Pour que que la solution Email OTP功能，assured -vous que l ' authentication basée sur la connexion est activée sur le server SMTP。

Pour vous assureque l ' authentication basée sur la connexion est activée, tapez la command suivante sur le server SMTP。Si l ' authentication basée sur la connexion est activée, vous remquerez que le texte身份验证登录Apparaît en gras dans la sortie。

root@ns# telnet < SMTP服务器的IP地址><服务器端口号> ehlo

为例:

root@ns# telnet 10.106.3.66 25 Trying 10.106.3.66…已连接到10.106.3.66。转义字符是'^]'。22e2k13.nsgsanity.com微软ESMTP邮件服务准备在星期五，2019年11月22日16:24:17 +0530 ehlo 250-E2K13.NSGSanity.com Hello [10.221.41.151] 250- size 37748736 250- pipelining 250- dsn 250- enhancedstatuscodes 250- starttls 250- x - anonymoustls 250- auth LOGIN 250- x - exps GSSAPI NTLM 250- 8bitmime 250- binarymime 250- chunking 250 XRDST

提供激活认证信息basée，报告信息àhttps://support.microfocus.com/kb/doc.php?id=7020367．

倾注配置une行动de message à l 'aide de l 'interface de ligne de command

add authentication emailAction emailact -userName sender@example.com -password  -serverURL "smtps://smtp.example.com:25" -content "OTP is $code"

为例:

add authentication emailAction email -userName testmail@gmail.com -password 298a34b1a1b7626cd5902bbb416d04076e5ac4f357532e949db94c0534832670 -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://10.19.164.57:25" -content "OTP is $code" -emailAddress "aaa.user.attribute(\"alternate_mail\")"

标记

Le paramètre«EmailAddress»dan la配置est une表达式PI。para conséquent, cela est configuré pour prendre soit 'ID de message utiliseur Par défaut de session, soit 'ID de message alternatif déjà enregistré。

倒配置l 'ID de messagerie à l 'aide de l 'interface graphique

1. Accedez一Sécurité > AAA - traffic des applications > Stratégies > authentication > Stratégies avancées > Actions > Action par e-mail - d ' authentication．双击苏尔Ajouter．

2. Dans la pageCréer une action par e-mail d ' authentication， saisissez les détails et cliquez sur克里尔．

   

倒créer une stratégie d ' authentication倒la validation des电子邮件à l 'aide de l 'interface de ligne de command

添加认证策略email_validation -rule true -action email

倒créer une stratégie d ' authentication倒le facteur de réinitialisation du mot de pass

增加认证策略ldap_pwd -rule true -action ldap_logon_action

Présentation de l 'interface utilisateur via le schéma de connexion

Il y a trois LoginsSchema pour la réinitialisation du mot de pass en libre-service pour réinitialiser le mot de pass。Utilisez les commands CLI suivantes pour afficher les trois schémas de connexion:

root@ns# cd /nsconfig/loginschema/ loginschema/ root@ns# ls -ltr | grep -i password -r——r——r——1 nobody wheel 2088 11月13日08:38 SingleAuthPasswordResetRem.xml -r——r——r——1 nobody wheel 1541 11月13日08:38 OnlyUsernamePasswordReset.xml -r——r——1 nobody wheel 1391 11月13日08:38 onypassword .xml

倒créer une réinitialisation de mot de pass d ' authentication unique à l 'aide de l 'interface de ligne de command

> add authentication loginSchema lschema_password_reset -authenticationSchema "/nsconfig/ loginSchema / loginSchema /SingleAuthPasswordResetRem.xml" > add authentication loginSchemaPolicy lpol_password_reset -rule true -action lschema_password_reset

Créer des question et réponses basées sur les connisissances et enyer un facteur de validation OTP par e-mail via une étiquette de stratégie

我是LDAP的首席顾问，您将会créer une question et une réponse basées负责沟通和特使étiquettes de stratégie OTP为我们提供顾问à我将会负责领导。

> add authentication loginSchema lschema_noschema -authenticationSchema noschema > add authentication policylabel kba_validation -loginSchema lschema_noschema > add authentication policylabel email_validation -loginSchema lschema_noschema

Créer un facteur de réinitialisation du mot de pass via l ' étiquette de stratégie

Vous pouvez créer un facteur de réinitialisation de mot de passe via l ' étiquette de stratégie à l ' aide des commandes suivantes。

> add authentication loginSchema lschema_noschema -authenticationSchema noschema > add authentication policylabel password_reset -loginSchema lschema_noschema > bind authentication policylabel password_reset -policyName ldap_pwd -priority 10 -gotoPriorityExpression NEXT

Liez la question et la réponse basées sur les connaissances et la stratégie d 'e-mail aux stratégies créées précédemment à l 'aide des commandes suivantes。

> bind authentication policylabel email_validation -policyName email_validation -nextfactor password_reset -priority 10 -gotoPriorityExpression NEXT > bind authentication policylabel kba_validation -policyName kba_validation -nextfactor email_validation -priority 10 -gotoPriorityExpression NEXT

肝素通量

会话启动LDAP doit être créé en vertu de la stratégie认证启动LDAP。Dans ce flux, l 'utilisateur clique sur le lien de mot de pass oublié présenté sur la première page d 'ouverture de session LDAP, puis la validation KBA suivie par la validation OTP et enfin la page de réinitialisation du mot de pass。

bind authentication vserver authvs -policy ldap3 -nextfactor kba_validation -priority 10 -gotoPriorityExpression NEXT

倾述界面使用流量

bind authentication vserver authvs -policy lpol_password_reset -priority 20 -gotoPriorityExpression结束

工作流d 'ouverture de session utilisateur pour réinitialiser le mot de pass

使用过程中工作的声音réinitialiser过去的事:

1. Entrez l 'URL lb vserver;比如https://lb1.server.com．L ' écran d ' ouverture de session s ' affiche。

   

2. 双击苏尔Mot de pass oublié．Un écran de validation affiche deux questions sur Un maximum de six questions et réponses enregistrées auprès d 'un utilisateur AD。

   

3. Répondez aux questions et cliquezsur Se连接器．Un écran de validation OTP par e-mail dans level vous devez entry le OTP reçu sur l 'ID de courriel seconaire enregistré s 'affiche。

   

4. 请用电子邮件发送OTP。Une fois que la validation OTP de l 'e-mail est réussie, la page de réinitialisation du mot de pass s 'affiche。

   

5. 这是过去的新概念，这是过去的新概念。双击苏尔Soumettre．Une fois la réinitialisation du mot de pass réussie, l ' écran de réinitialisation du mot de pass réussie s ' affiche。

   

Vous pouvez维护Vous connecter à l 'aide du mot de pass de réinitialisation。

Résolution des problèmes

思捷fournnit une option pour résoudre当然problèmes基础，基础，基础，基础，利用réinitialisation，自由，服务。主管部门à résoudre有关部门problèmes有关部门spécifiques。

NS杂志

先锋分析者le journal, il est recommandé de définir le niveau du journal pour le déboguer à l 'aide de la command suivante:

> set syslogparams -loglevel DEBUG

Enregistrement

使用登记信息réussi。

"ns_aaa_insert_hash_keyValue_entry key:kba_registered value:1" Nov 14 23:35:51  10.102.229.76 11/14/2018:18:05:51 GMT 0- ppp -1: default SSLVPN Message 1588 0:"ns_aaa_insert_hash_keyValue_entry key:alternate_mail value: eyj2zxjzaw9uijoimsisicjjlvqioiixbk1owjn0t2njlvvvzux6ndrwzfhxds01dta9iiwgimtlesi6ilniyw9ovlhknfhuqthkvv2ddcmjsv3pxqzres3qzmwxinuyxq0tysupxd0h4sfrizlwzjrrtjtm0ziyy1rzmlqc0tmevn2uhplegljc2hmvhzbcgvmzjy5du5iykytyxplqzjmtff1m3jinfvebzjasjdzz0qwtqvui3be1fyvnpexhnn1dsrkzxewtnovvnogppqvvzvklvvebhv4iiwgimfszyi6ikffuzi1nlhq00ifq ==.oKmvOalaOJ3a9z7BcGCSegNPMw=="

验证des问题和réponses basée sur les connaisances

Le message suivant indique une validation réussie des questions et réponses basée sur les connaisances。

“NFactor:成功完成KBA验证，nextfactor是电子邮件”

验证，id, courriel

Le message suivant indique une réinitialisation réussie du mot de pass。

"NFactor:成功完成电子邮件认证，nextfactor是pwd_reset"

配置SSPR à l 'aide du visualiseur NFactor

Avant de commencer la configuration SSPR, nous devons ajouter les servers LDAP suivants:

1. 服务器LDAP标准avec认证activée pour l ' authentication utilisateur et attrbut AD spécifié。

   

   

2. 服务器LDAP pour l 'extraction des paramètres utilisateur sans authentication。

   

3. 服务器LDAP pour la réinitialisation du mot de passe sur SSL无身份验证。En oute, l ' attribute AD à utiliser pour stocker les détails de l 'utilisateur doit être défini dans ce server。

   

   

4. 服务器LDAP pour l ' enregistrment des utilisateurs, avec身份验证activée et attribute AD spécifié

   

   

5. Le flux complete est illustré ci-dessous:

   

6. 全球证书指南à l 'aide de la command CLI suivante:

   bind vpn global -userDataEncryptionKey通配符

维护服务器LDAP sont ajoutés, procédez à la配置因子à l 'aide de visualiseur

1. Accedez,Sécurité > AAA > traffic des applications > nFactor Visualizer > nFactor Flux， cliquez surAjouterEt cliquez sur l 'icône加上à l 'intérieur de la boîte。

   

2. Donnez un nom au flux。

   

3. 双击苏尔Ajouter un schéma， qui servira de schéma par défaut。双击苏尔AjouterSur la page du schéma de connexion。

   

4. Après avoir donné un nom au schéma, sélectionnez le schéma comme indiqué ci-dessous。双击苏尔选择Dans le coin supérieur droit pour le schéma à sélectionner。

   

5. 双击苏尔克里尔， puis sur好吧．

Une fois le schéma par défaut ajouté， nous devons配置les trois flux suivants:

• 铭文utilisateur: Pour l ' enregistremexicite de l 'utilisateur
• Réinitialisation杜莫特De passe: pour la ré
• Connexion normale + Vérification de l 'utilisateur enregistré:诗诗où诗诗正确，诗诗connecté。Dans le cas où l 'utilisateur n 'est pas enregistré， il l 'emmènera à la page d ' enregistration。

登记使用

continue d 'où nous sommes partis après l 'ajout du schéma。

1. 双击苏尔Ajouter une stratégie， cela vérifiera si l 'utilisateur tente de s 'inscrire explicitement。

   

   

2. 双击苏尔克里尔， puis surAjouter．

3. 双击苏尔l 'icone ' + ' en surbrillance植物香倒ajouter le因素d 'authentification遵循盟d 'enregistrement des utilisateurs通量。

   

   

4. 双击苏尔克里尔．

5. 双击苏尔Ajouter une stratégie使用铭文1。

   

6. Créez la stratégie d’authentication。Cette stratégie信息检索和登记信息检索和登记信息检索和登记信息。

   

7. 双击苏尔克里尔， puis surAjouter．

8. cliques维护'icône verte ' + ' pour créer一件事，一件事，一件事，一件事克里尔．双击苏尔Ajouter un schéma．

   

   

9. Créez le schéma suivant。

   

10. 双击苏尔Ajouter une stratégieEt créez la stratégie d ' authentication suivante。

    

11. 双击苏尔克里尔， puis surAjouter．

Reinitialisation杜

1. Cliquez sur l 'icône«+»bleue pour ajouter une autre stratégie (flux de réinitialisation du mot de passe) pour le facteur SSPR parent。

   

2. 双击苏尔AjouterEt créez la stratégie d ' authentication ci-dessous。赛特stratégie sera déclenchée si l 'utilisateur clique sur«Mot de passe oublié»sur la page de connexion。

   

3. 双击苏尔克里尔， puis surAjouter．

4. Cliquez sur l 'icône verte«+»pour la stratégie d ' authentication de réinitialisation du mot de pass pour ajouter un autre factor。

   

   

5. 双击苏尔克里尔．

6. 双击苏尔Ajouter une stratégie倒créer une stratégie d ' authentication倒le facteur créé ci-dessus。服务要素à有效利用者。

   

7. 双击苏尔克里尔， puis surAjouter．

8. Cliquez sur l 'icône verte ' + ' pour ajouter un autre facteur pour le flux de facteur de mot de pass, cela validera les réponses fournies pour la réinitialisation du mot de pass。双击苏尔克里尔．

   

9. 双击苏尔Ajouter une stratégie浇ajouter une stratégie d ' authentication Pour le facteur。

10. Sélectionnez la même stratégie d ' authentication dans le menu déroulant que nous avons créé précédemment et cliquez surAjouter．

    

Connexion normale + Vérification de l 'utilisateur enregistré

1. Cliquez sur l 'icône«+»bleue pour ajouter une autre stratégie d ' authentication (flux de connexion normal) au facteur SSPR parent。

   

2. 双击苏尔Ajouter倒créer la stratégie d ' authentication ci-dessous Pour la connexion utilisateur normale。

   

3. 双击苏尔克里尔言归归真Ajouter．

4. Cliquez sur l 'icône verte«+»pour la stratégie créée ci-dessus pour ajouter un autre facteur, par example un bloc de décision。双击苏尔克里尔．

   

5. 双击苏尔克里尔．

   

6. 双击苏尔Ajouter une stratégie倒créer une stratégie d’authentication倒ce facteur de décision。

   

7. 双击苏尔克里尔， puis surAjouter．塞拉vérifiera si l 'utilisateur est enregistré ou non。

8. Cliquez sur l 'icône verte ' + ' pour pointer l ' utilisateur vers la politique d ' registrment。

   

9. Sélectionnez le facteur d 'inscription dans le menu déroulant et cliquez sur克里尔．

   

10. Cliquez maintenant sur l 'icône«+»blue pour ajouter une autre stratégie au bloc de décision, cette stratégie sera pour l 'utilisateur enregistré de mettre fin à l '认证。

    

11. 双击苏尔Ajouter une stratégie倒créer la stratégie d ' authentication ci-dessous。

    

12. 双击苏尔克里尔， puis surAjouter．