Citrix ADC 13.1
在Citrix ADC中
在所有产品中
产品文档
Citrix ADC 13.1
在Citrix ADC中
在所有产品中
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

用户帐户和密码管理

2021年8月24日
贡献者:
C

Citrix ADC使您能够管理用户帐户和密码配置。以下是您可以为设备上的系统用户帐户或nsroot管理用户帐户执行的一些活动。

  • 系统用户帐户锁定
  • 锁定系统用户帐户进行管理访问
  • 解锁锁定的系统用户帐户以进行管理访问
  • 禁用系统用户帐户的管理访问
  • 强制更改nsroot管理用户的密码
  • 删除系统用户帐户中的敏感文件
  • 系统用户的强密码配置

系统用户帐户锁定

要防止暴力安全攻击,您可以配置用户锁定配置。该配置使网络管理员能够阻止系统用户登录Citrix ADC设备。此外,还可以在锁定期限到期之前解锁用户帐户。

在命令提示符下,键入:

set aaa parameter -maxloginAttempts -failedLoginTimeout -persistentLoginAttempts (ENABLED | DISABLED)

注意

必须启用“PersistentLoginTerms”参数才能获取不成功的用户登录尝试的持久存储的详细信息。

示例:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

使用GUI配置系统用户帐户锁定

  1. 导航到配置>安全> aaa应用程序流量>身份验证设置>更改身份验证aaa设置

  2. 在“配置aaa参数页中,设置以下参数:

    1. 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
    2. 登录超时失败。用户尝试无效登录的最大次数。
    3. 持久登录尝试。持久存储不成功的用户登录尝试。

  3. 单击好吧(确定)。

    用于系统用户帐户锁定的GUI配置

设置参数后,用户帐户将被锁定 10 分钟,以进行三次或更多次无效登录尝试。此外,即使使用有效凭据 10 分钟,用户也无法登录。

注意

如果锁定的用户尝试登录到设备,RBA身份验证失败:达到测试的最大登录尝试。将显示一条错误消息。

锁定系统用户帐户进行管理访问

Citrix ADC设备使您能够将系统用户锁定24小时并拒绝对该用户的访问。

Citrix ADC设备支持系统用户和外部用户的配置。

注意

只有在禁用aaa参数中的persistentLoginAttempts选项时,才支持该功能。

在命令提示符下,键入:

set aaa parameter -persistentLoginAttempts DISABLED

现在,要锁定用户帐户,请在命令提示符下键入:

锁定aaa用户测试

使用GUI锁定系统用户帐户

  1. 导航到配置>安全> aaa应用程序流量>身份验证设置>更改身份验证aaa设置

    用于锁定系统用户帐户的GUI过程

  2. 在“配置aaa参数“中的”持久登录尝试“列表中,选择”禁用”。
  3. 导航到系统(系统)>用户管理(用户管理)>用户(用户)。
  4. 选择一个用户。

  5. 在“选择操作”列表中,选择”锁定”。

    选择锁定选项

注意

Citrix ADC GUI没有锁定外部用户的选项。要锁定外部用户,adc管理员必须使用cli。当锁定的系统用户(使用锁定身份验证,授权和审核用户命令锁定)尝试登录Citrix ADC时,设备将显示错误消息”央行身份验证失败:用户测试被锁定24小时”。

当用户被锁定以登录管理访问权限时,控制台访问权限将被豁免。锁定的用户能够登录控制台。

解锁锁定的系统用户帐户以进行管理访问

使用锁定身份验证、授权和审核用户命令可以将系统用户和外部用户锁定 24 小时。

注意

Adc设备允许管理员解锁锁定的用户,该功能不需要在“持久登录尝试”命令中进行任何设置。

在命令提示符下,键入:

解锁aaa用户测试

使用GUI配置系统用户解锁

  1. 导航到系统(系统)>用户管理(用户管理)>用户(用户)。
  2. 选择一个用户。

  3. 单击”解锁”。

    配置系统用户解锁

Citrix ADC GUI仅列出在ADC中创建的系统用户,因此GUI中没有解锁外部用户的选项。要解锁外部用户,nsroot管理员必须使用cli。

禁用系统用户帐户的管理访问

如果在设备上配置了外部身份验证,并且作为管理员,您希望拒绝系统用户登录管理访问权限的访问权限,则必须禁用系统参数中的LocalAuth选项。

在命令提示符下,键入以下内容:

set system parameter localAuth .使用实例

示例:

设置系统参数localAuth DISABLED

使用GUI禁用对系统用户的管理访问

  1. 导航到配置 > 系统 > 设置 > 更改全局系统设置

  2. 命令行界面(cli)部分中,取消选中本地身份验证复选框。

    用于禁用系统用户的管理访问的GUI过程

通过禁用该选项,本地系统用户将无法登录adc管理访问。

注意

必须配置外部身份验证服务器并可访问,才能在系统参数中禁止本地系统用户身份验证。如果在adc中配置的用于管理访问的外部服务器无法访问,则本地系统用户可以登录到设备。该行为是为了恢复目的而设置的。

强制管理用户更改密码

对于nsroot安全身份验证,Citrix ADC设备会提示用户将默认密码更改为新密码(如果在系统参数中启用了forcePasswordChange选项)。您可以在首次使用默认凭据登录时从cli或GUI更改nsroot密码。

在命令提示符下,键入:

set system parameter -forcePasswordChange (ENABLED | DISABLED)

Nsip的SSH会话示例:

ssh nsroot@1.1.1.1连接到1.1.1.1:22…连接建立。按Ctrl+Alt+]切换到本地shell。############################################################################### 警告:访问这个系统仅供授权用户#立即断开,如果你不是一个授权的用户!# ############################################################################### 请修改默认NSROOT密码。Enter new password: Please re-enter your password: Done

删除系统用户帐户中的敏感文件

要管理敏感数据,如系统用户帐户的授权密钥和公钥,必须启用removeSensitiveFiles选项。启用系统参数时删除敏感文件的命令包括:

  • Rm集群实例
  • Rm集群节点
  • Rm高可用性节点
  • 清空配置
  • 加入集群
  • 添加集群实例

在命令提示符下,键入:

设置系统参数removeSensitiveFiles (ENABLED | DISABLED)

示例:

设置系统参数-removeSensitiveFiles ENABLED

系统用户的强密码配置

对于安全身份验证,Citrix ADC设备会提示系统用户和管理员设置强密码以登录到设备。密码必须长且必须是以下内容的组合:

  • 一个小写字符
  • 一个大写字符
  • 一个数字字符
  • 一个特殊角色

在命令提示符下,键入:

设置系统参数-strongpassword -minpasswordlen

其中,

Strongpassword。启用强密码 (让所有/enablelocal) 后,所有密码或敏感信息必须具有以下条件:

  • 至少 1 个小写字符
  • 至少 1 个大写字符
  • 至少 1 个数字字符
  • 至少 1 个特殊角色

排除enablelocal中的列表为 -NS_FIPSNS_CRLNS_RSAKEYNS_PKCS12、ns_pkcs8、ns_ldap、NS_TACACSNS_TACACSACTIONNS_RADIUSNS_RADIUSACTIONNS_ENCRYPTION_PARAMS。因此,系统用户不会对这些ObjectType命令执行强密码检查。

可能的值:enableallenablelocal, disabled默认值:禁用

minpasswordlen。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认最小值为 1。在这两种情况下,最大值都是 127。

最小值:1 最大值:127

示例:

设置系统参数-strongpassword enabllocal -minpasswordlen 6

默认用户帐户

管理员可以使用nsrecover用户帐户恢复Citrix ADC设备。如果默认系统用户 (nsroot) 由于任何不可预见的问题无法登录,您可以使用nsrecover登录adc设备。nsrecover登录信息独立于用户配置,可让您直接访问shell提示符。无论是否达到最大配置限制,您始终都可以通过nsrecover登录。

用户帐户和密码管理
2021年8月24日
贡献者:
C
2021年8月24日
贡献者:
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统公司版权所有。