OTPシークレットデータを暗号化された形式で保存する
Citrix ADCリリース13.0ビルド41.20以降、OTPシークレットデータはプレーンテキストではなく暗号化された形式で保存できます。
以前は、Citrix ADCアプライアンスはOTPシークレットをプレーンテキストとしてADに保存していました。OTP シークレットをプレーンテキストで保存すると、悪意のある攻撃者や管理者が他のユーザーの共有シークレットを閲覧してデータを悪用する可能性があるため、セキュリティ上の脅威となります。
暗号化パラメータは AD の OTP シークレットの暗号化を可能にします。Citrix ADC バージョン13.0ビルド41.20に新しいデバイスを登録し、暗号化パラメータを有効にすると、OTPシークレットはデフォルトで暗号化された形式で保存されます。ただし、暗号化パラメータが無効になっている場合、OTP シークレットはプレーンテキスト形式で保存されます。
13.0+41.20+
- CitrixADC+13.0+41.20
- アプライアンスの暗号化パラメータを有効にします。
- OTP シークレット移行ツールを使用して、OTP シークレットデータをプレーンテキスト形式から暗号化形式に移行します。
OTP シークレット移行ツールの詳細については、「OTP 暗号化ツール」を参照してください。
上头
:Citrix では、管理者に次の基準が満たされていることを確認することをお勧めします。
セルフサービスパスワードリセット機能の一部として KBA を使用していない場合は、OTP シークレットを暗号化するように新しい証明書を構成する必要があります。
将证书绑定为VPN全局时,可使用下列命令:
vpn全局-userDataEncriptionKeykba OTP
新しい OTP 登録は、常に最後にバインドされた証明書が最も優先されるため、その証明書で行われます。以下の例では、証明書 (cert1) をバインドしてから別の証明書 (cert2) をバインドすると、cert2 がデバイス登録の対象とみなされます。デバイス登録に必要な証明書がない場合、エンドユーザーのログインは失敗します。
global-userDataEncriptionKeyOp-cert1绑定vpnGlobal-userDataEncriptionKeyOp-cert2次の例では、
证书2証明書は显示vpn全局コマンド出力の最初のエントリとして表示されます。显示vpn全局
VPN#cvpn_policy#################################################################
CLI OTP
コマンドプロンプトで入力します。
数参数集[加密(OnQOFOF
例
aa参数-encription
GUI OTP
- [+++++++++++################################AAOTP
- 「AAODO」ページで、「OTPQQQ」を選択します。
- [OK]
OTPQQQ
管理者は、エンドユーザーがOTP通知または認証を受け取るために登録できるデバイスの数を設定できるようになりました。
CLI OTP
コマンドプロンプトで入力します。
aa参数集
例
aa参数-maxOTPDEPs4
GUI を使用してデバイス数を設定するには
- [セキュリティ] > [AAA — アプリケーショントラフィック################################AAA OTP パラメータの変更** ] をクリックします。
- [AAOTP########OTPO] の値を入力します。
[OK]をクリックします。
