Citrix ADC

Gestion des comptes utilisateur et des mots de passe

Citrix ADC vous permet de gérer la configuration des comptes d’utilisateurs et des mots de passe. Voici quelques-unes des activités que vous pouvez effectuer pour un compte d’utilisateur système ou un compte d’utilisateur nsroot administrateur sur l’appliance.

  • Verrouillage du compte utilisateur système
  • Verrouiller le compte d’utilisateur système pour l’accès de gestion
  • Déverrouiller un compte d’utilisateur système verrouillé pour l’accès à la gestion
  • Désactiver l’accès de gestion pour le compte d’utilisateur système
  • Forcer le changement de mot de passe nsroot pour les utilisateurs
  • Supprimer les fichiers sensibles dans un compte d’utilisateur système
  • Configuration de mot de passe forte pour les utilisateurs système

Verrouillage du compte utilisateur système

Pour éviter les attaques de sécurité par force brute, vous pouvez configurer la configuration de verrouillage de l’utilisateur. La configuration permet à un administrateur réseau d’empêcher un utilisateur système de se connecter à une appliance Citrix ADC. Et déverrouillez également le compte d’utilisateur avant l’expiration de la période de verrouillage.

À l’invite de commandes, tapez :

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

Remarque

Le paramètre “persistentLoginAttempts” doit être ACTIVÉ pour obtenir les détails du stockage persistant des tentatives de connexion utilisateur infructueuses.

Exemple :

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

Configurer le verrouillage du compte d’utilisateur système à l’aide de l’interface graphique

  1. Accédez à Configuration > Sécurité > AAA-Application Trafic > Paramètres d’authentification > Modifier les paramètres d’authentification AAA.
  2. Dans la page Configurer le paramètre AAA, définissez les paramètres suivants :

    1. Tentatives de connexion maximales. Nombre maximal de tentatives d’ouverture de session autorisées par l’utilisateur.
    2. Échec du délai d’attente de connexion. Nombre maximal de tentatives d’ouverture de session non valides effectuées par l’utilisateur.
    3. Tentatives de connexion persistantes. Stockage persistant des tentatives de connexion utilisateur infructueuses.
  3. Cliquez sur OK.

    Configuration de l'interface graphique pour le verrouillage du compte d'utilisateur système

Lorsque vous définissez les paramètres, le compte d’utilisateur est verrouillé pendant 10 minutes pour trois tentatives de connexion non valides ou plus. En outre, l’utilisateur ne peut pas ouvrir de session même avec des informations d’identification valides pendant 10 minutes.

Remarque

Si un utilisateur verrouillé tente de se connecter à l’appliance, un message d’erreur RBA Authentication Failure: maxlogin attempt reached for test. s’affiche.

Verrouiller le compte d’utilisateur système pour l’accès de gestion

L’appliance Citrix ADC vous permet de verrouiller un utilisateur système pendant 24 heures et de refuser l’accès à l’utilisateur.

L’appliance Citrix ADC prend en charge la configuration pour les utilisateurs système et externes.

Remarque

La fonctionnalité n’est prise en charge que si vous désactivez l’option persistentLoginAttempts dans le paramètre aaa.

À l’invite de commandes, tapez :

set aaa parameter –persistentLoginAttempts DISABLED

Maintenant, pour verrouiller un compte d’utilisateur, à l’invite de commandes, tapez :

lock aaa user test

Verrouiller un compte d’utilisateur système à l’aide de l’interface graphique

  1. Accédez à Configuration > Sécurité > AAA-Application Trafic > Paramètres d’authentification > Modifier les paramètres d’authentification AAA.

    Procédure GUI pour verrouiller le compte d'utilisateur système

  2. Dans Configurer le paramètre AAA, dans la liste Tentatives de connexion persistantes, sélectionnez DÉSACTIVÉ.
  3. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  4. Sélectionnez un utilisateur.
  5. Dans la liste Sélectionner une action, sélectionnez Verrouiller.

    Sélectionner l'option de verrouillage

Remarque

L’interface graphique Citrix ADC ne dispose pas d’option pour verrouiller les utilisateurs externes. Pour verrouiller un utilisateur externe, l’administrateur ADC doit utiliser l’interface de ligne de commande. Lorsqu’un utilisateur système verrouillé (verrouillé avec une commande d’authentification de verrouillage, d’autorisation et d’audit de l’utilisateur) tente de se connecter à Citrix ADC, l’appliance affiche un message d’erreur « Échec de l’authentification RBA : test utilisateur est verrouillé pendant 24 heures ».

Lorsqu’un utilisateur est verrouillé pour se connecter à l’accès de gestion, l’accès à la console est exempté. L’utilisateur verrouillé est capable de se connecter à la console.

Déverrouiller un compte d’utilisateur système verrouillé pour l’accès à la gestion

Les utilisateurs système et les utilisateurs externes peuvent être verrouillés pendant 24 heures à l’aide de la commande d’authentification de verrouillage, d’autorisation et d’audit de l’utilisateur.

Remarque

L’appliance ADC permet aux administrateurs de déverrouiller l’utilisateur verrouillé et la fonctionnalité ne nécessite aucun paramètre dans la commande « PersistentLoginEssentents ».

À l’invite de commandes, tapez :

unlock aaa user test

Configurer le déverrouillage de l’utilisateur système à l’aide de l’interface graphique

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Sélectionnez un utilisateur.
  3. Cliquez sur Déverrouiller.

    Configurer le déverrouillage de l'utilisateur système

L’interface graphique Citrix ADC répertorie uniquement les utilisateurs système créés dans ADC, de sorte qu’il n’y a pas d’option dans l’interface graphique pour déverrouiller les utilisateurs externes. Pour déverrouiller un utilisateur externe, l’administrateur nsroot doit utiliser l’interface de ligne de commande.

Désactiver l’accès de gestion pour le compte d’utilisateur système

Lorsque l’authentification externe est configurée sur l’appliance et que vous préférez refuser que les utilisateurs système se connectent à l’accès à la gestion, vous devez désactiver l’option LocalAuth dans le paramètre système.

À l’invite de commandes, tapez ce qui suit :

set system parameter localAuth <ENABLED|DISABLED>

Exemple :

set system parameter localAuth DISABLED

Désactiver l’accès de gestion à l’utilisateur système à l’aide de l’interface graphique

  1. Accédez à Configuration > Système > Paramètres > Modifier les paramètres globaux du système.
  2. Dans la section Interface de ligne de commande (CLI), décochez la case Authentification locale.

    Procédure GUI pour désactiver l'accès de gestion à l'utilisateur système

En désactivant cette option, les utilisateurs du système local ne peuvent pas se connecter à l’accès de gestion ADC.

Remarque

Le serveur d’authentification externe doit être configuré et accessible pour interdire l’authentification de l’utilisateur système local dans le paramètre système. Si le serveur externe configuré dans ADC pour l’accès à la gestion est inaccessible, les utilisateurs du système local peuvent ouvrir une session sur l’appliance. Le comportement est configuré à des fins de récupération.

Forcer le changement de mot de passe pour les utilisateurs

Pour une authentification sécurisée nsroot, l’appliance Citrix ADC invite l’utilisateur à changer le mot de passe par défaut en un nouveau si l’option forcePasswordChange est activée dans le paramètre système. Vous pouvez modifier votre nsroot mot de passe à partir de la CLI ou de l’interface graphique, lors de votre première connexion avec les informations d’identification par défaut.

À l’invite de commandes, tapez :

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Exemple de session SSH pour NSIP :

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done

Supprimer les fichiers sensibles dans un compte d’utilisateur système

Pour gérer des données sensibles telles que les clés autorisées et les clés publiques d’un compte d’utilisateur système, vous devez activer removeSensitiveFiles cette option. Les commandes qui suppriment les fichiers sensibles lorsque le paramètre système est activé sont les suivantes :

  • rm cluster instance
  • rm cluster node
  • noeud haute disponibilité rm
  • config clair complet
  • rejoindre le cluster
  • ajouter une instance de cluster

À l’invite de commandes, tapez :

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

Exemple :

set system parameter -removeSensitiveFiles ENABLED

Configuration de mot de passe forte pour les utilisateurs système

Pour une authentification sécurisée, l’appliance Citrix ADC invite les utilisateurs système et les administrateurs à définir des mots de passe forts pour se connecter à l’appliance. Le mot de passe doit être long et doit être une combinaison de :

  • Un caractère minuscule
  • Un caractère majuscule
  • Un caractère numérique
  • Un caractère spécial

À l’invite de commandes, tapez :

set system parameter -strongpassword <value> -minpasswordlen <value>

Où,

Strongpassword. Après avoir activé le mot de passe fort (enable all / enablelocal), tous les mots de passe ou informations sensibles doivent avoir les éléments suivants :

  • Au moins 1 caractère minuscule
  • Au moins 1 caractère majuscule
  • Au moins 1 caractère numérique
  • Au moins 1 caractère spécial

Excluez la liste dans enablelocal est - NS_FIPS, NS_CRL, NS_RSAKEY, NS_PKCS12, NS_PKCS8, NS_LDAP, NS_TACACS, NS_TACACSACTION, NS_RADIUS, NS_RADIUSACTION, NS_ENCRYPTION_PARAMS. Par conséquent, aucune vérification du mot de passe fort n’est effectuée sur ces commandes ObjectType pour l’utilisateur système.

Valeurs possibles :enableall, enablelocal, désactivé Valeur par défaut : disabled

minpasswordlen. Longueur minimale du mot de passe utilisateur système. Lorsque le mot de passe fort est activé par défaut, la longueur minimale est de 4. La valeur saisie par l’utilisateur peut être supérieure ou égale à 4. La valeur minimale par défaut est 1 lorsque le mot de passe fort est désactivé. La valeur maximale est 127 dans les deux cas.

Valeur minimale : 1 Valeur maximale : 127

Exemple :

set system parameter -strongpassword enablelocal -minpasswordlen 6

Compte utilisateur par défaut

Le compte d’utilisateur nsrecover peut être utilisé par l’administrateur pour restaurer l’appliance Citrix ADC. Vous pouvez vous connecter à l’appliance ADC nsrecover si les utilisateurs système par défaut (nsroot) ne peuvent pas se connecter en raison de problèmes imprévus. La connexion nsrecover est indépendante des configurations utilisateur et vous permet d’accéder directement à l’invite shell. Vous êtes toujours autorisé à vous connecter via nsrecover, même si la limite maximale de configuration est atteinte.