Restablecimiento personal de contraseñas

El restablecimiento de contraseñas de autoservicio es una solución de administración de contraseñas basada en la web. Está disponible en las funciones de autenticación, autorización y auditoría de Citrix ADC Appliance y Citrix Gateway. Elimina la dependencia del usuario de la asistencia del administrador para cambiar la contraseña.

El restablecimiento de contraseña de autoservicio proporciona al usuario final la capacidad de restablecer o crear una contraseña de forma segura en los siguientes escenarios:

  • El usuario ha olvidado la contraseña.
  • El usuario no puede iniciar sesión.

Hasta ahora, si un usuario final olvida una contraseña de AD, el usuario final tenía que ponerse en contacto con el administrador de AD para restablecer la contraseña. Con la funcionalidad de restablecimiento de contraseña de autoservicio, un usuario final puede restablecer la contraseña sin la intervención de un administrador.

Las siguientes son algunas de las ventajas de usar el restablecimiento de contraseña de autoservicio:

  • Aumento de la productividad a través del mecanismo automático de cambio de contraseña, que elimina el tiempo de espera para que los usuarios esperen a que se restablecen las contraseñas y se desbloqueen las cuentas.
  • Con el mecanismo automático de cambio de contraseña, los administradores pueden concentrarse en otras tareas críticas.

La siguiente figura ilustra el flujo de restablecimiento de contraseña de autoservicio para restablecer la contraseña.

Imagen localizada

Para utilizar el restablecimiento de contraseña de autoservicio, un usuario debe estar registrado con la autenticación, autorización y auditoría de Citrix o con el servidor virtual de Citrix Gateway.

El restablecimiento de contraseña de autoservicio proporciona las siguientes capacidades:

  • Nuevo registro de usuario. Puedes registrarte como nuevo usuario.
  • Configurar preguntas basadas en el conocimiento. Como administrador, puede configurar un conjunto de preguntas para los usuarios.
  • Registro de ID de correo electrónico alternativo. Debe proporcionar un ID de correo electrónico alternativo durante el registro. El OTP se envía al ID de correo electrónico alternativo porque el usuario ha olvidado la contraseña del ID de correo electrónico principal.

    Nota:

    A partir de la versión 12.1 build 51.xx, el registro de ID de correo electrónico alternativo se puede hacer como independiente. Se introduce un nuevo Loginschema, AltemailRegister.xml para hacer solo registro alternativo de ID de correo electrónico. Anteriormente, el registro alternativo de ID de correo electrónico solo se podía realizar mientras se hacía el registro de KBA.

  • Restablecer contraseña olvidada. El usuario puede restablecer la contraseña respondiendo a las preguntas basadas en el conocimiento. Como administrador, puede configurar y almacenar las preguntas.

El restablecimiento de contraseña de autoservicio proporciona los dos nuevos mecanismos de autenticación siguientes:

  • Preguntas y respuestas basadas en el conocimiento. Debe registrarse en autenticación, autorización y auditoría de Citrix o en Citrix Gateway antes de seleccionar el esquema de preguntas y respuestas basado en conocimientos.

  • Autenticación OTP por correo electrónico. Se envía un OTP al ID de correo electrónico alternativo, que el usuario ha registrado durante el registro de restablecimiento de contraseña de autoservicio.

Nota

Estos mecanismos de autenticación se pueden utilizar para los casos de uso de restablecimiento de contraseña de autoservicio y para cualquier propósito de autenticación similar a cualquiera de los mecanismos de autenticación existentes.

Requisitos previos

Antes de configurar el restablecimiento de contraseña de autoservicio, revise los siguientes requisitos previos:

  • Función Citrix ADC versión 12.1, compilación 50.28.
  • La versión admitida es el nivel de función de dominio AD de 2016, 2012 y 2008.
  • El nombre de usuario LDAPBind vinculado al Citrix ADC debe tener acceso de escritura a la ruta de acceso de AD de los usuarios.

    Nota El restablecimiento de contraseña de autoservicio solo se admite en el flujo de autenticación nFactor. Para obtener más información, consulte Autenticación nFactor a través de Citrix ADC.

Limitaciones

A continuación se presentan algunas de las limitaciones del restablecimiento de contraseña de autoservicio:

  • El restablecimiento de contraseña de autoservicio solo está disponible si el back-end de autenticación es LDAP.
  • El usuario no puede ver el ID de correo electrónico alternativo ya registrado.
  • Las preguntas y respuestas basadas en el conocimiento, y la autenticación y el registro de OTP por correo electrónico no pueden ser el primer factor en el flujo de autenticación.
  • Para Native Plug-in y Receiver, el registro solo se admite a través del explorador.
  • El tamaño mínimo de certificado utilizado para el restablecimiento de contraseñas de autoservicio es de 1024 bytes y debe seguir el estándar x.509.

Configuración de Active Directory

La pregunta y respuesta basadas en el conocimiento de Citrix ADC y el correo electrónico OTP utiliza el atributo AD para almacenar los datos de los usuarios. Debe configurar un atributo de AD para almacenar las preguntas y respuestas junto con el ID de correo electrónico alternativo. El dispositivo Citrix ADC lo almacena en el atributo KB configurado en el objeto de usuario de AD. Al configurar un atributo de AD, tenga en cuenta lo siguiente:

  • La longitud del atributo debe tener al menos 128 caracteres.
  • El atributo AD debe admitir un valor de 32 000 de longitud máxima.
  • El tipo de atributo debe ser un ‘DirectoryString’.
  • Se puede utilizar un único atributo de AD para preguntas y respuestas basadas en el conocimiento y el ID de correo electrónico alternativo.
  • No se puede utilizar un único atributo de AD para el registro de preguntas y respuestas basadas en el conocimiento ni para el registro alternativo de ID de correo electrónico.
  • El administrador de Citrix ADC LDAP debe tener acceso de escritura al atributo AD seleccionado.

También puede utilizar un atributo de AD existente. Sin embargo, asegúrese de que el atributo que planea usar no se utiliza para otros casos. Por ejemplo, userParameters es un atributo existente dentro del usuario de AD que puede utilizar. Para verificar este atributo, realice los siguientes pasos:

  1. Desplácese hasta ADSI > seleccionar usuario.
  2. Haga clic derecho y desplácese hacia abajo hasta la lista de atributos.
  3. En el panel de la ventana CN=TestUser Properties, puede ver que el atributo userParameters no está establecido.

Imagen localizada

Registro de restablecimiento de contraseña de autoservicio

Para implementar una solución de restablecimiento de contraseña de autoservicio en un dispositivo Citrix ADC, debe realizar lo siguiente:

  • Registro de autoservicio de restablecimiento de contraseña (pregunta basada en conocimiento y respuesta/ID de correo electrónico).
  • Página de inicio de sesión del usuario (para restablecer la contraseña, que incluye preguntas y respuestas basadas en el conocimiento y validación de OTP por correo electrónico y factor final de restablecimiento de contraseña).

Un conjunto de catálogo de preguntas predefinidas se proporciona como un archivo JSON. Como administrador, puede seleccionar las preguntas y crear un esquema de inicio de sesión de registro de restablecimiento de contraseña de autoservicio a través de la GUI de Citrix ADC. Puede elegir cualquiera de las siguientes opciones:

  • Seleccione un máximo de cuatro preguntas definidas por el sistema.
  • Proporcione una opción para que los usuarios personalicen dos preguntas y respuestas.

Para ver el archivo JSON de preguntas basadas en el conocimiento predeterminado de CLI

Imagen localizada

Nota

Citrix Gateway incluye el conjunto de preguntas definidas por el sistema de forma predeterminada. El administrador puede modificar el archivo “KBQuestions.json” para incluir su elección de preguntas.

Para completar el registro de preguntas y respuestas basado en el conocimiento Esquema de inicio de sesión mediante GUI

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión.

    Imagen localizada

  2. En la página Esquema de inicio de sesión, haga clic en Perfiles.
  3. Haga clic en Agregar esquema de inicio de sesión de registro de KBA.
  4. En la página Crear esquema de inicio de sesión de autenticación, especifique un nombre en el campo Nombre de esquema.

    Imagen localizada

    Imagen localizada

  5. Seleccione las preguntas de su elección y muévalo a la lista Configurada.

  6. En la sección Preguntas definidas por el usuario, puede proporcionar preguntas y respuestas en los campos Q1 y A1.

    Imagen localizada

  7. En la sección Registro de correo electrónico, marque la opción Registrar correo electrónico alternativo. Puede registrar el ID de correo electrónico alternativo desde la página de inicio de sesión de registro de usuario para recibir el OTP.

    Imagen localizada

  8. Haga clic en Crear. El esquema de inicio de sesión una vez generado muestra todas las preguntas configuradas al usuario final durante el proceso de registro.

Crear flujo de trabajo de administración y registro de usuarios mediante CLI

Antes de comenzar la configuración, es necesario lo siguiente:

  • Dirección IP asignada al servidor virtual de autenticación
  • FQDN correspondiente a la dirección IP asignada
  • Certificado de servidor para servidor virtual de autenticación

Para configurar la página de registro y administración de dispositivos, necesita un servidor virtual de autenticación. La siguiente figura ilustra el registro del usuario.

Imagen localizada

Para crear un servidor virtual de autenticación

  1. Configure un servidor virtual de autenticación. Debe ser de tipo SSL y asegúrese de vincular el servidor virtual de autenticación con el tema del portal.

    > add authentication vserver <vServerName> SSL <ipaddress> <port>
    > bind authentication vserver <vServerName> [-portaltheme<string>]
    
  2. Vincular el par de certificados y claves de servidor virtual SSL.

    > bind ssl vserver <vServerName> certkeyName <string>
    

    Ejemplo:

    > add authentication vserver authvs SSL 1.2.3.4 443
    > bind authentication vserver authvs -portaltheme RFWebUI
    > bind ssl vserver authvs -certkeyname c1
    

Para crear una acción de inicio de sesión LDAP

    > add authentication ldapAction <name> {-serverIP <ipaddr|ipv6_addr|> [-serverPort <port>] [-ldapBase <BASE> ] [-ldapBindDn <AD USER>] [-ldapBindDnPassword <PASSWORD>] [-ldapLoginName <USER FORMAT>]

Nota

Puede configurar cualquier directiva de autenticación como primer factor.

Ejemplo:

    > add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -serverport 636 -sectype SSL -KBAttribute userParameters

Para crear una directiva de autenticación para el inicio de sesión LDAP

    > add authentication policy <name> <rule> [<reqAction]

Ejemplo:

    > add authentication policy ldap_logon -rule true -action ldap_logon_action

Para crear una acción de registro de preguntas y respuestas basada en el conocimiento

Se introducen dos nuevos parámetros en ldapaction. “KBatTribute” para Autenticación KBA (Registro y validación) y “AlternateEmailAttr” para el registro del ID de correo electrónico alternativo del usuario.

    > add authentication ldapAction <name> {-serverIP  <ipaddr|ipv6_addr|> [-serverPort <port>] [-ldapBase <BASE> ] [-ldapBindDn <AD USER>] [-ldapBindDnPassword <PASSWORD>] [-ldapLoginName <USER FORMAT>] [-KBAttribute <LDAP ATTRIBUTE>] [-alternateEmailAttr <LDAP ATTRIBUTE>]

Ejemplo:

    > add authentication ldapAction ldap1 -serverIP 1.2.3.4 -sectype ssl -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters

Mostrar la pantalla de registro y administración de usuarios

El esquema de inicio de sesión “kbaregistrationSchema.xml” se utiliza para mostrar la página de registro de usuario al usuario final. Utilice la siguiente CLI para mostrar el esquema de inicio de sesión.

> add authentication loginSchema <name> -authenticationSchema <string>

Ejemplo:

> add authentication loginSchema kba_register -authenticationSchema /nsconfig/loginschema/LoginSchema/KBARegistrationSchema.xml

Citrix recomienda dos formas de mostrar la pantalla de administración y registro de usuarios: URL o atributo LDAP.

Uso de URL

Si la ruta URL contiene ‘/register’ (por ejemplo,https://lb1.server.com/register), la página de registro del usuario se muestra mediante URL.

Para crear y vincular una directiva de registro

> add authentication policylabel user_registration -loginSchema kba_register
> add authentication policy ldap1 -rule true -action ldap1
> bind authentication policylabel user_registration -policy ldap1 -priority 1

Para vincular la directiva de autenticación al servidor virtual de autenticación, autorización y auditoría cuando la dirección URL contiene ‘/register’

> add authentication policy ldap_logon -rule "http.req.cookie.value(\"NSC_TASS\").contains(\"register\")" -action ldap_logon
> bind authentication vserver authvs -policy ldap_logon -nextfactor user_registration -priority 1

Para enlazar certificado a VPN global

bind vpn global -userDataEncryptionKey c1

Nota

Debe vincular el certificado para cifrar los datos de usuario (KB Q&A y ID de correo electrónico alternativo registrado) almacenados en el atributo AD.

Uso de atributo

Puede vincular la directiva de autenticación al servidor virtual de autenticación, autorización y auditoría para comprobar si el usuario ya está registrado o no. En este flujo, cualquiera de las directivas anteriores antes del factor de registro de preguntas y respuestas basado en el conocimiento debe ser LDAP con kbaAttribute configurado. Esto es para comprobar si el usuario de AD está registrado o no utiliza un atributo de AD.

Importante

La regla “AAA.USER.ATTRIBUTE (“kba_registered”).EQ (“0”)” obliga a los nuevos usuarios a registrarse para preguntas basadas en el conocimiento y responder y correo electrónico alternativo.

Para crear una directiva de autenticación para comprobar si el usuario aún no está registrado

> add authentication policy switch_to_kba_register -rule "AAA.USER.ATTRIBUTE(\"kba_registered\").EQ(\"0\")" -action NO_AUTHN
> add authentication policy first_time_login_forced_kba_registration -rule true -action ldap1

Para crear una etiqueta de directiva de registro y enlazar a la directiva de registro LDAP

> add authentication policylabel auth_or_switch_register -loginSchema LSCHEMA_INT
> add authentication policylabel kba_registration -loginSchema kba_register

> bind authentication policylabel auth_or_switch_register -policy switch_to_kba_register -priority 1 -nextFactor kba_registration
> bind authentication policylabel kba_registration -policy first_time_login_forced_kba_registration -priority 1

Para vincular la directiva de autenticación al servidor virtual de autenticación, autorización y auditoría

bind authentication vserver authvs -policy ldap_logon -nextfactor auth_or_switch_register -priority 2

Registro de usuarios y validación de gestión

Una vez que haya configurado todos los pasos mencionados en las secciones anteriores, debería ver las capturas de pantalla de la interfaz de usuario que se muestran a continuación.

  1. Introduzca la URL vserver lb; por ejemplo.https://lb1.server.com Aparece la pantalla de inicio de sesión.

    Imagen localizada

  2. Introduzca el nombre de usuario y la contraseña. Haga clic en Enviar. Aparecerá la pantalla Registro de usuario.

    Imagen localizada

  3. Seleccione la pregunta preferida de la lista desplegable e introduzca la respuesta.
  4. Haga clic en Enviar. Se muestra la pantalla de registro correcto del usuario.

Configurar página de inicio de sesión de usuario

En este ejemplo, el administrador asume que el primer factor es el inicio de sesión LDAP (para el que el usuario final ha olvidado la contraseña). A continuación, el usuario sigue el registro de preguntas y respuestas basadas en el conocimiento y validación OTP ID de correo electrónico, y finalmente restablece la contraseña mediante el restablecimiento de contraseña de autoservicio.

Puede utilizar cualquiera de los mecanismos de autenticación para restablecer contraseñas de autoservicio. Citrix recomienda tener una pregunta y una respuesta basadas en el conocimiento, y enviar un correo electrónico a OTP o ambos para lograr una privacidad segura y evitar el restablecimiento de contraseñas de usuario ilegítimas.

Antes de comenzar a configurar la página de inicio de sesión del usuario, es necesario lo siguiente:

  • IP para servidor virtual del equilibrador de carga
  • FQDN correspondiente para el servidor virtual del equilibrador de carga
  • Certificado de servidor para el equilibrador de carga

Crear un servidor virtual del equilibrador de carga mediante CLI

Para acceder al sitio web interno, debe crear un servidor virtual LB para hacer frente al servicio back-end y delegar la lógica de autenticación en el servidor virtual de autenticación.

> add lb vserver lb1 SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs

> bind ssl vserver lb1 -certkeyname c1

Para representar el servicio back-end en el equilibrio de carga:

> add service iis_backendsso_server_com 1.2.3.4 HTTP 80

> bind lb vserver lb1 iis_backendsso_server_com

Crear acción LDAP con autenticación inhabilitada como primera directiva

> add authentication ldapAction ldap3 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -authentication disabled

> add authentication policy ldap3 -rule aaa.LOGIN.VALUE("passwdreset").EQ("1") -action ldap3

Crear una acción de validación de preguntas y respuestas basada en el conocimiento

Para la validación de preguntas y respuestas basadas en el conocimiento en el flujo de restablecimiento de contraseñas de autoservicio, debe configurar el servidor LDAP con autenticación inhabilitada.

> add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -KBAttribute  <LDAP ATTRIBUTE> - alternateEmailAttr <LDAP ATTRIBUTE> -authentication DISABLED

Ejemplo:

> add authentication ldapAction ldap2 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters -authentication disabled

Para crear una directiva de autenticación para la validación de preguntas y respuestas basada en el conocimiento mediante CLI

agregar directiva de autenticación kba_validation -rule true -action ldap2

Crear acción de validación de correo electrónico

LDAP debe ser un factor anterior al factor de validación de correo electrónico porque necesita el ID de correo electrónico del usuario o el ID de correo electrónico alternativo como parte del registro de restablecimiento de contraseña de autoservicio.

Para configurar la acción de correo electrónico mediante CLI

add authentication emailAction emailact -username sender@example.com -password <Password> -serverURL "smtps: //smtp.example.com:25" -content "OTP es $code"

Ejemplo:

add authentication emailAction email -userName testmail@gmail.com -password 298a34b1a1b7626cd5902bbb416d04076e5ac4f357532e949db94c0534832670 -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://10.19.164.57:25" -content "OTP is $code" -emailAddress "aaa.user.attribute(\"alternate_mail\")"

Nota

El parámetro “EmailAddress” en la configuración es una expresión PI. Por lo tanto, esto está configurado para tomar el ID de correo electrónico de usuario predeterminado de la sesión o el ID de correo electrónico alternativo ya registrado.

Para configurar el ID de correo electrónico mediante GUI

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > directivas > Autenticación > Directivas avanzadas > Acciones > Acción de correo electrónico de autenticación. Haga clic en Agregar.
  2. En la página Crear acción de correo electrónico de autenticación, rellene los detalles y haga clic en Crear.

    Imagen localizada

Para crear una directiva de autenticación para la validación de correo electrónico mediante CLI

agregar directiva de autenticación email_validation -rule true -action email

Para crear una directiva de autenticación para el factor de restablecimiento de contraseña

agregar directiva de autenticación ldap_pwd -rule true -action ldap_logon_action

Presentación de la interfaz de usuario a través del esquema de inicio de sesión

Hay tres LoginSchema para restablecer la contraseña de autoservicio para restablecer la contraseña. Utilice los siguientes comandos de CLI para ver los tres esquemas de inicio de sesión:

root @ns # cd  /nsconfig/loginschema/loginschema/
root @ns # ls -ltr | grep -i contraseña
-r—r—r—  1  rueda de nadie  2088 Nov 13 08:38 SingleAuthPasswordSetRemm.xml
-r—r—r—  1  rueda de nadie  1541 Nov 13 08:38 solamenteUsernamePasswordReset.xml
-r—r—r—  1  rueda de nadie  1391 Nov 13 08:38 OnlyPassword.xml

Para crear un restablecimiento de contraseña de autenticación única mediante CLI

> add authentication loginSchema lschema_password_reset -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthPasswordResetRem.xml"

> add authentication loginSchemaPolicy lpol_password_reset -rule true -action lschema_password_reset

Crear un factor de validación OTP basado en el conocimiento y responder por correo electrónico a través de la etiqueta de directivas

Si el primer factor es el inicio de sesión LDAP, puede crear una pregunta y respuesta basadas en el conocimiento y enviar por correo electrónico etiquetas de directiva OTP para el siguiente factor mediante los siguientes comandos.

> add authentication loginSchema lschema_noschema -authenticationSchema noschema

> add authentication policylabel kba_validation -loginSchema lschema_noschema

> add authentication policylabel email_validation -loginSchema lschema_noschema

Crear factor de restablecimiento de contraseña a través de la etiqueta de directiva

Puede crear el factor de restablecimiento de contraseña a través de la etiqueta de directiva mediante los siguientes comandos.

> add authentication loginSchema lschema_noschema -authenticationSchema noschema

> add authentication policylabel password_reset -loginSchema lschema_noschema

> bind authentication policylabel password_reset -policyName ldap_pwd -priority 10 -gotoPriorityExpression NEXT

Enlaza la pregunta y respuesta basadas en el conocimiento y la directiva de correo electrónico a las directivas creadas anteriormente mediante los siguientes comandos.

> bind authentication policylabel email_validation -policyName email_validation -nextfactor password_reset -priority 10 -gotoPriorityExpression NEXT

> bind authentication policylabel kba_validation -policyName kba_validation -nextfactor email_validation -priority 10 -gotoPriorityExpression NEXT

Enlazar el flujo

Debe tener el flujo de inicio de sesión LDAP creado bajo la directiva de autenticación para el inicio de sesión LDAP. En este flujo, el usuario hace clic en el enlace olvidado de contraseña presentado en la primera página de inicio de sesión LDAP, luego validación KBA seguida de validación OTP y finalmente página de restablecimiento de contraseña.

bind authentication vserver authvs -policy ldap3 -nextfactor kba_validation -priority 10 -gotoPriorityExpression NEXT

Para enlazar todo el flujo de la interfaz de usuario

bind authentication vserver authvs -policy lpol_password_reset -priority 20 -gotoPriorityExpression END

Flujo de trabajo de inicio de sesión del usuario para restablecer la contraseña

A continuación se muestra un flujo de trabajo de inicio de sesión de usuario si el usuario necesita restablecer la contraseña:

  1. Introduzca la URL vserver lb; por ejemplo.https://lb1.server.com Aparece la pantalla de inicio de sesión.

    Imagen localizada

  2. Haga clic en Olvidó su contraseña. Una pantalla de validación muestra dos preguntas de un máximo de seis preguntas y respuestas registradas contra un usuario de AD.

    Imagen localizada

  3. Responda a las preguntas y haga clic en Iniciar sesión. Aparecerá una pantalla de validación de OTP de correo electrónico en la que debe introducir el OTP recibido en el ID de correo electrónico alternativo registrado.

    Imagen localizada

  4. Introduzca el correo electrónico OTP. Una vez que la validación de OTP del correo electrónico se realiza correctamente, se muestra la página de restablecimiento de contraseña.

    Imagen localizada

  5. Introduzca una nueva contraseña y confirme la nueva contraseña. Haga clic en Enviar. Una vez que se haya restablecido correctamente la contraseña, se muestra la pantalla de restablecimiento correcto de la contraseña.

    Imagen localizada

Ahora puede iniciar sesión con la contraseña de restablecimiento.

Solucionar problemas

Citrix ofrece una opción para solucionar algunos de los problemas básicos que puede enfrentar al usar el restablecimiento de contraseña de autoservicio. La siguiente sección le ayuda a solucionar algunos de los problemas que pueden producirse en áreas específicas.

Registro NS

Antes de analizar el registro, se recomienda establecer el nivel de registro para depurar mediante el siguiente comando:

> set syslogparams -loglevel DEBUG

Registro

El siguiente mensaje indica un registro de usuario correcto.

"ns_aaa_insert_hash_keyValue_entry key:kba_registered value:1"
Nov 14 23:35:51 <local0.debug> 10.102.229.76 11/14/2018:18:05:51 GMT  0-PPE-1 : default SSLVPN Message 1588 0 :  "ns_aaa_insert_hash_keyValue_entry key:alternate_mail value:eyJ2ZXJzaW9uIjoiMSIsICJraWQiOiIxbk1oWjN0T2NjLVVvZUx6NDRwZFhxdS01dTA9IiwgImtleSI6IlNiYW9OVlhKNFhUQThKV2dDcmJSV3pxQzRES3QzMWxINUYxQ0tySUpXd0h4SFRIdVlWZjBRRTJtM0ZiYy1RZmlQc0tMeVN2UHpleGlJc2hmVHZBcGVMZjY5dU5iYkYtYXplQzJMTFF1M3JINFVEbzJaSjdhN1pXUFhqbUVrWGdsbjdUYzZ0QWtqWHdQVUI3bE1FYVNpeXhNN1dsRkZXeWtNOVVnOGpPQVdxaz0iLCAiaXYiOiI4RmY3bGRQVzVKLVVEbHV4IiwgImFsZyI6IkFFUzI1Nl9HQ00ifQ==.oKmvOalaOJ3a9z7BcGCSegNPMw=="

Validación de preguntas y respuestas basadas en el conocimiento

El siguiente mensaje indica una validación correcta de preguntas y respuestas basadas en el conocimiento.

"NFactor: Successfully completed KBA Validation, nextfactor is email"

Validación de ID de correo electrónico

El siguiente mensaje indica que se ha restablecido correctamente la contraseña.

"NFactor: Successfully completed email auth, nextfactor is pwd_reset"