此内容已被机器动态翻译。
diesel Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde。(Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique。(非条款responsabilité)
Este artículo lo ha traducido una máquina形式上dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンは動的に機械翻訳されています。免責事項
此内容已被机器动态翻译。
此内容已被机器动态翻译。
此内容已被机器动态翻译。
这篇文章是机器翻译的。
柴油Artikel wurde maschinell übersetzt。(Haftungsausschluss)
Ce article a été traduit automatiquement。(非条款responsabilité)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。
Este artigo foi traduzido automaticamente。
这篇文章已经过机器翻译.放弃
翻译失败!
用户帐户和密码管理
Citrix ADC使您能够管理用户帐户和密码配置。以下是您可以为设备上的系统用户帐户或nsroot
管理用户帐户执行的一些活动。
- 系统用户帐户锁定
- 锁定系统用户帐户进行管理访问
- 解锁锁定的系统用户帐户以进行管理访问
- 禁用系统用户帐户的管理访问
- 强制更改
nsroot
管理用户的密码 - 删除系统用户帐户中的敏感文件
- 系统用户的强密码配置
系统用户帐户锁定
要防止暴力安全攻击,您可以配置用户锁定配置。该配置使网络管理员能够阻止系统用户登录Citrix ADC设备。此外,还可以在锁定期限到期之前解锁用户帐户。
在命令提示符下,键入:
set aaa parameter -maxloginAttempts
注意
必须启用“PersistentLoginTerms”参数才能获取不成功的用户登录尝试的持久存储的详细信息。
示例:
set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED
使用GUI配置系统用户帐户锁定
- 导航到配置>安全> aaa应用程序流量>身份验证设置>更改身份验证aaa设置。
在“配置aaa参数页中,设置以下参数:
- 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
- 登录超时失败。用户尝试无效登录的最大次数。
- 持久登录尝试。持久存储不成功的用户登录尝试。
单击好吧(确定)。
设置参数后,用户帐户将被锁定 10 分钟,以进行三次或更多次无效登录尝试。此外,即使使用有效凭据 10 分钟,用户也无法登录。
注意
如果锁定的用户尝试登录到设备,
RBA身份验证失败:达到测试的最大登录尝试。
将显示一条错误消息。
锁定系统用户帐户进行管理访问
Citrix ADC设备使您能够将系统用户锁定24小时并拒绝对该用户的访问。
Citrix ADC设备支持系统用户和外部用户的配置。
注意
只有在禁用
aaa
参数中的persistentLoginAttempts
选项时,才支持该功能。
在命令提示符下,键入:
set aaa parameter -persistentLoginAttempts DISABLED
现在,要锁定用户帐户,请在命令提示符下键入:
锁定aaa用户测试
使用GUI锁定系统用户帐户
导航到配置>安全> aaa应用程序流量>身份验证设置>更改身份验证aaa设置。
- 在“配置aaa参数“中的”持久登录尝试“列表中,选择”禁用”。
- 导航到系统(系统)>用户管理(用户管理)>用户(用户)。
- 选择一个用户。
在“选择操作”列表中,选择”锁定”。
注意
Citrix ADC GUI没有锁定外部用户的选项。要锁定外部用户,adc管理员必须使用cli。当锁定的系统用户(使用锁定身份验证,授权和审核用户命令锁定)尝试登录Citrix ADC时,设备将显示错误消息”央行身份验证失败:用户测试被锁定24小时”。
当用户被锁定以登录管理访问权限时,控制台访问权限将被豁免。锁定的用户能够登录控制台。
解锁锁定的系统用户帐户以进行管理访问
使用锁定身份验证、授权和审核用户命令可以将系统用户和外部用户锁定 24 小时。
注意
Adc设备允许管理员解锁锁定的用户,该功能不需要在“持久登录尝试”命令中进行任何设置。
在命令提示符下,键入:
解锁aaa用户测试
使用GUI配置系统用户解锁
- 导航到系统(系统)>用户管理(用户管理)>用户(用户)。
- 选择一个用户。
单击”解锁”。
Citrix ADC GUI仅列出在ADC中创建的系统用户,因此GUI中没有解锁外部用户的选项。要解锁外部用户,nsroot
管理员必须使用cli。
禁用系统用户帐户的管理访问
如果在设备上配置了外部身份验证,并且作为管理员,您希望拒绝系统用户登录管理访问权限的访问权限,则必须禁用系统参数中的LocalAuth选项。
在命令提示符下,键入以下内容:
set system parameter localAuth
示例:
设置系统参数localAuth DISABLED
使用GUI禁用对系统用户的管理访问
- 导航到配置 > 系统 > 设置 > 更改全局系统设置。
在命令行界面(cli)部分中,取消选中本地身份验证复选框。
通过禁用该选项,本地系统用户将无法登录adc管理访问。
注意
必须配置外部身份验证服务器并可访问,才能在系统参数中禁止本地系统用户身份验证。如果在adc中配置的用于管理访问的外部服务器无法访问,则本地系统用户可以登录到设备。该行为是为了恢复目的而设置的。
强制管理用户更改密码
对于nsroot
安全身份验证,Citrix ADC设备会提示用户将默认密码更改为新密码(如果在系统参数中启用了forcePasswordChange
选项)。您可以在首次使用默认凭据登录时从cli或GUI更改nsroot
密码。
在命令提示符下,键入:
set system parameter -forcePasswordChange (ENABLED | DISABLED)
Nsip的SSH会话示例:
ssh nsroot@1.1.1.1连接到1.1.1.1:22…连接建立。按Ctrl+Alt+]切换到本地shell。############################################################################### 警告:访问这个系统仅供授权用户#立即断开,如果你不是一个授权的用户!# ############################################################################### 请修改默认NSROOT密码。Enter new password: Please re-enter your password: Done
删除系统用户帐户中的敏感文件
要管理敏感数据,如系统用户帐户的授权密钥和公钥,必须启用removeSensitiveFiles
选项。启用系统参数时删除敏感文件的命令包括:
- Rm集群实例
- Rm集群节点
- Rm高可用性节点
- 清空配置
- 加入集群
- 添加集群实例
在命令提示符下,键入:
设置系统参数removeSensitiveFiles (ENABLED | DISABLED)
示例:
设置系统参数-removeSensitiveFiles ENABLED
系统用户的强密码配置
对于安全身份验证,Citrix ADC设备会提示系统用户和管理员设置强密码以登录到设备。密码必须长且必须是以下内容的组合:
- 一个小写字符
- 一个大写字符
- 一个数字字符
- 一个特殊角色
在命令提示符下,键入:
设置系统参数-strongpassword
其中,
Strongpassword
。启用强密码 (让所有
/enablelocal
) 后,所有密码或敏感信息必须具有以下条件:
- 至少 1 个小写字符
- 至少 1 个大写字符
- 至少 1 个数字字符
- 至少 1 个特殊角色
排除enablelocal
中的列表为 -NS_FIPS
、NS_CRL
、NS_RSAKEY
、NS_PKCS12
、ns_pkcs8、ns_ldap、NS_TACACS
、NS_TACACSACTION
、NS_RADIUS
、NS_RADIUSACTION
、NS_ENCRYPTION_PARAMS
。因此,系统用户不会对这些ObjectType命令执行强密码检查。
可能的值:enableall
、enablelocal
, disabled默认值:禁用
minpasswordlen
。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认最小值为 1。在这两种情况下,最大值都是 127。
最小值:1 最大值:127
示例:
设置系统参数-strongpassword enabllocal -minpasswordlen 6
默认用户帐户
管理员可以使用nsrecover
用户帐户恢复Citrix ADC设备。如果默认系统用户 (nsroot
) 由于任何不可预见的问题无法登录,您可以使用nsrecover
登录adc设备。nsrecover
登录信息独立于用户配置,可让您直接访问shell提示符。无论是否达到最大配置限制,您始终都可以通过nsrecover
登录。
分享:
分享:
此预览版产品文档是Citrix机密文档。
您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考之用,不构成提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为思杰产品购买决策的依据。
如果不同意,选择“不同意退出”。