ADC

Gestion des comptes utilisateurs et des mots de passe

Citrix ADC vous permet de gérer les comptes utilisateurs et la configuration des mots de passe. Voici certaines des activités que vous pouvez effectuer à l’aide d’un compte utilisateur système ou nsrootd’un compte utilisateur administratif.

  • Verrouillage du compte utilisateur du système
  • Verrouiller le compte utilisateur du système pour l’accès à la gestion
  • Déverrouillez un compte utilisateur système verrouillé pour accéder à la gestion
  • Désactiver l’accès à la gestion pour le compte utilisateur du système
  • Forcer le changement de mot de passe pour nsrootles utilisateurs administratifs
  • Supprimer les fichiers sensibles d’un compte utilisateur du système
  • Configuration robuste des mots de passe pour les utilisateurs du système

Verrouillage du compte utilisateur du système

Pour empêcher les attaques de sécurité par force brute, vous pouvez configurer la configuration du verrouillage des utilisateurs. La configuration permet à un administrateur réseau d’empêcher un utilisateur du système de se connecter à Citrix ADC. Déverrouillez également le compte utilisateur avant l’expiration de la période de verrouillage.

Pour obtenir les détails des tentatives de connexion infructueuses des utilisateurs lors des redémarrages, le persistentLoginAttemptsparamètre peut être activé.

À l’invite de commandes, tapez :

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

Exemple :

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

Remarque :

Pour que aaa.user.login_attemptsl’ expression soit prise en compte, vous devez désactiver le paramètre « tentatives de connexion persistantes ».

Exécutez la unset aaa parameter -persistentLoginAttemptscommande pour désactiver (si elle est activée) les tentatives de connexion persistantes.

Pour plus de détails sur la fonctionnalité de tentative de connexion, consultez la section Assistance pour récupérer les tentatives de connexion en cours pour un utilisateur .

La sortie de commande show suivante affiche l’état de configuration des paramètres d’authentification, d’autorisation et d’audit :

show aaaparameter

Configured AAA parameters

EnableStaticPageCaching: YES

EnableEnhancedAuthFeedback: NO

DefaultAuthType: LOCAL MaxAAAUsers: Unlimited

AAAD nat ip: None

EnableSessionStickiness : NO

aaaSessionLoglevel: INFORMATIONAL

AAAD Log Level: INFORMATIONAL

...

Persistent Login Attempts: DISABLED

<!--NeedCopy-->

Configurer le verrouillage du compte utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Configuration > Sécurité > Trafic des applications AAA > Paramètres d’authentification > Modifier les paramètres d’authentification AAA.
  2. Sur la page Configurer le paramètre AAA, définissez les paramètres suivants :

    1. Nombre maximum de tentatives de connexion. Le nombre maximum de tentatives de connexion que l’utilisateur peut essayer.
    2. Échec du délai de connexion. Le nombre maximum de tentatives de connexion non valides par l’utilisateur.
    3. Tentatives de connexion persistantes. Stockage permanent des tentatives de connexion infructueuses des utilisateurs lors des redémarrages.
  3. Cliquez sur OK.

    Configuration de l'interface utilisateur pour le verrouillage du compte utilisateur du système

Lorsque vous définissez les paramètres, le compte utilisateur est bloqué pendant 10 minutes pendant au moins trois tentatives de connexion non valides. De plus, l’utilisateur ne peut pas se connecter même avec des informations d’identification valides pendant 10 minutes.

Remarque

Si un utilisateur verrouillé tente de se connecter à Citrix ADC, un message RBA Authentication Failure: maxlogin attempt reached for test.d’erreur s’affiche.

Verrouiller le compte utilisateur du système pour l’accès à la gestion

Citrix ADC vous permet de verrouiller un utilisateur du système pendant 24 heures et de lui refuser l’accès.

Citrix ADC prend en charge la configuration pour les utilisateurs du système et les utilisateurs externes.

Remarque

La fonctionnalité n’est prise en charge que si vous désactivez l’option persistentLoginAttempts dans le paramètre aaa.

À l’invite de commandes, tapez :

set aaa parameter –persistentLoginAttempts DISABLED

Maintenant, pour verrouiller un compte d’utilisateur, à l’invite de commandes, tapez :

lock aaa user test

Verrouiller un compte utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Configuration > Sécurité > Trafic des applications AAA > Paramètres d’authentification > Modifier les paramètres d’authentification AAA.
  2. Dans Configurer le paramètre AAA, dans la liste des tentatives de connexion persistantes, sélectionnez DÉSACTIVÉ.
  3. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  4. Sélectionnez un utilisateur.
  5. Dans la liste Sélectionner une action, sélectionnez Verrouiller.

    Sélectionnez l'option de verrouillage

Remarque

L’interface graphique de Citrix ADC ne propose pas d’option permettant de verrouiller les utilisateurs externes. Pour verrouiller un utilisateur externe, l’administrateur ADC doit utiliser l’interface de ligne de commande. Lorsqu’un utilisateur du système verrouillé (verrouillé à l’aide d’une commande d’authentification, d’autorisation et d’audit de l’utilisateur) tente de se connecter à Citrix ADC, un message d’erreur intitulé « Échec de l’authentification RBA : le test utilisateur est verrouillé pendant 24 heures » apparaît.

Lorsqu’un utilisateur est bloqué pour se connecter à l’accès de gestion, l’accès à la console est exempté. L’utilisateur verrouillé peut se connecter à la console.

Déverrouillez un compte utilisateur système verrouillé pour accéder à la gestion

Les utilisateurs du système et les utilisateurs externes peuvent être verrouillés pendant 24 heures à l’aide de la commande utilisateur de verrouillage, d’authentification, d’autorisation et d’audit.

Remarque

Citrix ADC permet aux administrateurs de déverrouiller l’utilisateur verrouillé et la fonctionnalité ne nécessite aucun paramètre dans la commande « PersistentLoginAttempts ».

À l’invite de commandes, tapez :

unlock aaa user test

Configurer le déverrouillage utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Sélectionnez un utilisateur.
  3. Cliquez sur Déverrouiller.

    Configurer le déverrouillage utilisateur du système

L’interface graphique Citrix ADC répertorie uniquement les utilisateurs du système créés dans l’ADC. Il n’existe donc aucune option permettant de déverrouiller les utilisateurs externes. Pour déverrouiller un utilisateur externe, l’administrateur nsroot doit utiliser l’interface de ligne de commande.

Désactiver l’accès à la gestion pour le compte utilisateur du système

Lorsque l’authentification externe est configurée sur le Citrix ADC et que, en tant qu’administrateur, vous préférez refuser l’accès aux utilisateurs du système pour qu’ils puissent se connecter à l’accès de gestion, vous devez désactiver l’option LocalAuth dans le paramètre système.

À l’invite de commandes, tapez ce qui suit :

set system parameter localAuth <ENABLED|DISABLED>

Exemple :

set system parameter localAuth DISABLED

Désactiver l’accès de gestion à l’utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Configuration > Système > Paramètres > Modifier les paramètres généraux du système.
  2. Dans la section Interface de ligne de commande (CLI), désélectionnez la case Authentification locale .

En désactivant cette option, les utilisateurs du système local ne peuvent pas se connecter à l’accès de gestion ADC.

Remarque

Le serveur d’authentification externe doit être configuré et accessible pour interdire l’authentification des utilisateurs du système local dans les paramètres système. Si le serveur externe configuré dans ADC pour l’accès à la gestion est inaccessible, les utilisateurs du système local peuvent se connecter à l’appliance. Le comportement est configuré à des fins de restauration.

Forcer la modification du mot de passe pour les utilisateurs administratifs

Pour nsrootune authentification sécurisée, Citrix ADC invite l’utilisateur à remplacer le mot de passe par défaut par un nouveau si lforcePasswordChange’ option est activée dans le paramètre système. Vous pouvez modifier votre mot de passe nsroot depuis l’interface de ligne de commande ou l’interface graphique, lors de votre première connexion avec les informations d’identification par défaut

À l’invite de commandes, tapez :

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Exemple de session SSH pour NSIP :

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

Supprimer les fichiers sensibles d’un compte utilisateur du système

Pour gérer les données sensibles telles que les clés autorisées et les clés publiques d’un compte utilisateur du système, vous devez activer removeSensitiveFiles cette option. Les commandes qui suppriment les fichiers sensibles lorsque le paramètre système est activé sont les suivantes :

  • rm cluster instance
  • rm cluster node
  • nœud de haute disponibilité rm
  • effacer la configuration complète
  • join cluster
  • add cluster instance

À l’invite de commandes, tapez :

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

Exemple :

set system parameter -removeSensitiveFiles ENABLED

Configuration robuste des mots de passe pour les utilisateurs du système

Pour une authentification sécurisée, Citrix ADC invite les utilisateurs du système et les administrateurs à définir des mots de passe sécurisés lors de la connexion à la console. Le mot de passe doit être long et doit être une combinaison des éléments suivants :

  • Un caractère minuscule
  • Un caractère en majuscule
  • Un caractère numérique
  • Un caractère spécial

À l’invite de commandes, tapez :

set system parameter -strongpassword <value> -minpasswordlen <value>

Où,

Strongpassword. Après avoir activé le mot de passe fort (enable all / enablelocal), tous les mots de passe ou informations sensibles doivent comporter les éléments suivants :

  • Au moins 1 caractère minuscule
  • Au moins 1 caractère majuscule
  • Au moins 1 caractère numérique
  • Au moins 1 caractère spécial

Exclure la liste dans enablelocal is - NS_FIPS, NS_CRL, NS_RSAKEY, NS_PKCS12, NS_PKCS8, NS_LDAP, NS_TACACS, NS_TACACSACTION, NS_RADIUS, NS_RADIUSACTION, NS_ENCRYPTION_PARAMS. Aucune vérification du mot de passe fort n’est donc effectuée sur ces commandes ObjectType pour l’utilisateur du système.

Valeurs possibles : enableall, enablelocal, désactivé Valeur par défaut : désactivé

minpasswordlen. Longueur minimale du mot de passe utilisateur du système. Lorsque le mot de passe fort est activé par défaut, la longueur minimale est de 4. La valeur saisie par l’utilisateur peut être supérieure ou égale à 4. La valeur minimale par défaut est 1 lorsque le mot de passe fort est désactivé. La valeur maximale est 127 dans les deux cas.

Valeur minimale : 1 Valeur maximale : 127

Exemple :

set system parameter -strongpassword enablelocal -minpasswordlen 6

Compte utilisateur par défaut

Le compte utilisateur nsrecover peut être utilisé par l’administrateur pour récupérer l’appliance Citrix ADC. Vous pouvez vous connecter à Citrix ADC si nsrecoverles utilisateurs du système par défaut ( nsroot) ne peuvent pas se connecter en raison de problèmes imprévus. Le login nsrecover est indépendant des configurations utilisateur et vous permet d’accéder directement à l’invite du shell. Vous êtes toujours autorisé à vous connecter via le nsrecover? même si la limite de configuration maximale est atteinte.