Citrix ADC

Stockage des données secrètes OTP dans un format crypté

À partir de Citrix ADC version 13.0 build 41.20, les données secrètes OTP peuvent être stockées dans un format crypté au lieu de texte brut.

Auparavant, l’appliance Citrix ADC stockait le secret OTP sous forme de texte brut dans AD. Le stockage du secret OTP en texte brut constitue une menace pour la sécurité car un attaquant malveillant ou un administrateur peut exploiter les données en visualisant le secret partagé d’autres utilisateurs.

Le paramètre de chiffrement active le chiffrement du secret OTP dans AD. Lorsque vous enregistrez un nouveau périphérique avec Citrix ADC version 13.0 build 41.20 et que vous activez le paramètre de chiffrement, le secret OTP est stocké dans un format chiffré, par défaut. Toutefois, si le paramètre de chiffrement est désactivé, le secret OTP est stocké au format texte brut.

Pour les périphériques enregistrés avant la version 13.0 41.20, vous devez effectuer les opérations suivantes comme pratique recommandée :

  1. Mettez à niveau l’appliance Citrix ADC 13.0 vers la version 13.0 41.20.
  2. Activez le paramètre de chiffrement sur l’appliance.
  3. Utilisez l’outil de migration secrète OTP pour migrer les données secrètes OTP du format texte brut au format chiffré.

Pour plus d’informations sur l’outil de migration secrète OTP, voir Outil de chiffrement OTP.

Important

Citrix vous recommande en tant qu’administrateur pour vous assurer que les critères suivants sont remplis :

  • Un nouveau certificat doit être configuré pour chiffrer les secrets OTP si vous n’utilisez pas KBA dans le cadre de la fonctionnalité de réinitialisation de mot de passe en libre-service.

    • Pour lier le certificat à VPN global, vous pouvez utiliser la commande suivante :

      bind vpn global -UserDataEncryptionKey c1

  • Si vous utilisez déjà un certificat pour chiffrer KBA, vous pouvez utiliser le même certificat pour chiffrer les secrets OTP.

Pour activer les données de chiffrement OTP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set aaa otpparameter [-encryption ( ON | OFF )]

Exemple

set aaa otpparameter -encryption ON

Pour configurer le chiffrement OTP à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA — Trafic d’application et cliquez sur Modifier l’authentification AAA OTP Parameter sous la section Paramètres d’authentification.
  2. Sur la page Configurer le paramètre OTP AAA, sélectionnez Chiffrement secret OTP .
  3. Cliquez sur OK.

Configuration du nombre de périphériques utilisateur final pour recevoir des notifications OTP

Les administrateurs peuvent désormais configurer le nombre de périphériques qu’un utilisateur final peut enregistrer pour recevoir une notification ou une authentification OTP.

Pour configurer le nombre de périphériques dans OTP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set aaa otpparameter [-maxOTPDevices <positive_integer>]

Exemple

set aaa otpparameter -maxOTPDevices 4

Pour configurer le nombre de périphériques à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA — Trafic d’application, cliquez sur Modifier l’authentification AAA OTP Parametersous la section Paramètres d’authentification.
  2. Sur la page Configurer le paramètre OTP AAA, entrez la valeur du périphérique OTP Max configuré .
  3. Cliquez sur OK.

    image localisée