ADC

Gestion des comptes utilisateurs et des mots de passe

NetScaler vous permet de gérer les comptes utilisateurs et la configuration des mots de passe. Voici certaines des activités que vous pouvez effectuer à l’aide d’un compte utilisateur système ou nsrootd’un compte utilisateur administratif.

  • Verrouillage du compte utilisateur du système
  • Verrouiller le compte utilisateur du système pour l’accès à la gestion
  • Déverrouillez un compte utilisateur système verrouillé pour accéder à la gestion
  • Désactiver l’accès à la gestion pour le compte utilisateur du système
  • Avertir les utilisateurs en cas de changement de mot de passe nsroot
  • Forcer le changement de mot de passe pour nsrootles utilisateurs administratifs
  • Supprimer les fichiers sensibles d’un compte utilisateur du système
  • Configuration robuste des mots de passe pour les utilisateurs du système

Verrouillage du compte utilisateur du système

Pour empêcher les attaques de sécurité par force brute, vous pouvez configurer la configuration du verrouillage des utilisateurs. La configuration permet à un administrateur réseau d’empêcher un utilisateur du système de se connecter à NetScaler. Déverrouillez également le compte utilisateur avant l’expiration de la période de verrouillage.

Pour obtenir les détails des tentatives de connexion infructueuses des utilisateurs lors des redémarrages, le persistentLoginAttemptsparamètre peut être activé.

À l’invite de commandes, tapez :

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

Exemple :

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

Remarque :

Pour que aaa.user.login_attemptsl’ expression soit prise en compte, vous devez désactiver le paramètre « Tentatives de connexion persistantes ».

Exécutez la unset aaa parameter -persistentLoginAttemptscommande pour désactiver (si elle est activée) les tentatives de connexion persistantes.

Pour plus de détails sur la fonctionnalité de tentative de connexion, consultez la section Assistance pour récupérer les tentatives de connexion en cours pour un utilisateur .

La sortie de commande show suivante affiche l’état de configuration des paramètres d’authentification, d’autorisation et d’audit :

show aaaparameter

Configured AAA parameters

EnableStaticPageCaching: YES

EnableEnhancedAuthFeedback: NO

DefaultAuthType: LOCAL MaxAAAUsers: Unlimited

AAAD nat ip: None

EnableSessionStickiness : NO

aaaSessionLoglevel: INFORMATIONAL

AAAD Log Level: INFORMATIONAL

...

Persistent Login Attempts: DISABLED

<!--NeedCopy-->

Configurer le verrouillage du compte utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Configuration > Sécurité > Trafic des applications AAA > Paramètres d’authentification > Modifier les paramètres d’authentification AAA.
  2. Sur la page Configurer le paramètre AAA, définissez les paramètres suivants :

    1. Nombre maximum de tentatives de connexion. Le nombre maximum de tentatives de connexion que l’utilisateur peut essayer.
    2. Échec du délai de connexion. Le nombre maximum de tentatives de connexion non valides par l’utilisateur.
    3. Tentatives de connexion persistantes. Stockage permanent des tentatives de connexion infructueuses des utilisateurs lors des redémarrages.
  3. Cliquez sur OK.

    Configuration de l'interface utilisateur pour le verrouillage du compte utilisateur du système

Lorsque vous définissez les paramètres, le compte utilisateur est bloqué pendant 10 minutes pendant au moins trois tentatives de connexion non valides. De plus, l’utilisateur ne peut pas se connecter même avec des informations d’identification valides pendant 10 minutes.

Remarque

Si un utilisateur verrouillé tente de se connecter à NetScaler, un message RBA Authentication Failure: maxlogin attempt reached for test.d’erreur s’affiche.

Verrouiller le compte utilisateur du système pour l’accès à la gestion

NetScaler vous permet de verrouiller un utilisateur du système pendant 24 heures et de lui refuser l’accès.

NetScaler prend en charge la configuration pour les utilisateurs du système et les utilisateurs externes.

Remarque

La fonctionnalité n’est prise en charge que si vous désactivez l’option persistentLoginAttempts dans le paramètre aaa.

À l’invite de commandes, tapez :

set aaa parameter –persistentLoginAttempts DISABLED

Maintenant, pour verrouiller un compte d’utilisateur, à l’invite de commandes, tapez :

lock aaa user test

Verrouiller un compte utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Configuration > Sécurité > Trafic des applications AAA > Paramètres d’authentification > Modifier les paramètres d’authentification AAA.
  2. Dans Configurer le paramètre AAA, dans la liste des tentatives de connexion persistantes, sélectionnez DÉSACTIVÉ.
  3. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  4. Sélectionnez un utilisateur.
  5. Dans la liste Sélectionner une action, sélectionnez Verrouiller.

    Sélectionnez l'option de verrouillage

Remarque

L’interface graphique de NetScaler ne propose pas d’option permettant de verrouiller les utilisateurs externes. Pour verrouiller un utilisateur externe, l’administrateur ADC doit utiliser l’interface de ligne de commande. Lorsqu’un utilisateur du système verrouillé (verrouillé à l’aide d’une commande d’authentification, d’autorisation et d’audit de l’utilisateur) tente de se connecter à NetScaler, un message d’erreur intitulé « Échec de l’authentification RBA : le test utilisateur est verrouillé pendant 24 heures » apparaît.

Lorsqu’un utilisateur est bloqué pour se connecter à l’accès de gestion, l’accès à la console est exempté. L’utilisateur verrouillé peut se connecter à la console.

Déverrouillez un compte utilisateur système verrouillé pour accéder à la gestion

Les utilisateurs du système et les utilisateurs externes peuvent être verrouillés pendant 24 heures à l’aide de la commande utilisateur de verrouillage, d’authentification, d’autorisation et d’audit.

Remarque

NetScaler permet aux administrateurs de déverrouiller l’utilisateur verrouillé et la fonctionnalité ne nécessite aucun paramètre dans la commande « PersistentLoginAttempts ».

À l’invite de commandes, tapez :

unlock aaa user test

Configurer le déverrouillage utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs.
  2. Sélectionnez un utilisateur.
  3. Cliquez sur Déverrouiller.

    Configurer le déverrouillage utilisateur du système

L’interface graphique NetScaler répertorie uniquement les utilisateurs du système créés dans l’ADC. Il n’existe donc aucune option dans l’interface graphique permettant de déverrouiller les utilisateurs externes. Pour déverrouiller un utilisateur externe, l’administrateur nsroot doit utiliser l’interface de ligne de commande.

Désactiver l’accès à la gestion pour le compte utilisateur du système

Lorsque l’authentification externe est configurée sur NetScaler et en tant qu’administrateur, si vous préférez refuser l’accès aux utilisateurs du système pour se connecter à l’accès de gestion, vous devez désactiver l’option LocalAuth dans le paramètre système.

À l’invite de commandes, tapez ce qui suit :

set system parameter localAuth <ENABLED|DISABLED>

Exemple :

set system parameter localAuth DISABLED

Désactiver l’accès de gestion à l’utilisateur du système à l’aide de l’interface graphique

  1. Accédez à Configuration > Système > Paramètres > Modifier les paramètres généraux du système.
  2. Dans la section Interface de ligne de commande (CLI) , désélectionnez la case à cocher Authentification locale .

En désactivant cette option, les utilisateurs du système local ne peuvent pas se connecter à l’accès de gestion ADC.

Remarque

Le serveur d’authentification externe doit être configuré et accessible pour interdire l’authentification des utilisateurs du système local dans les paramètres système. Si le serveur externe configuré dans ADC pour l’accès à la gestion est inaccessible, les utilisateurs du système local peuvent se connecter à NetScaler. Le comportement est configuré à des fins de restauration.

Avertir les utilisateurs en cas de changement de mot de passe nsroot

Pour une sécurité renforcée, nous vous recommandons de modifier fréquemment le nsrootmot de passe. Vous êtes averti en cas de changement de mot de passe avant son expiration.

Vous pouvez définir une notification pour le changement de votre mot de passe nsroot à partir de l’interface de ligne de commande ou de l’interface graphique.

À l’invite de commandes, tapez :

set system parameter -daystoexpire 30 -warnpriorndays 30
<!--NeedCopy-->

Vous pouvez configurer les paramètres suivants :

  • daystoexpire- Le nombre de jours restants pour l’expiration du mot de passe
  • warnpriorndays- Le nombre de jours avant l’expiration du mot de passe pour émettre un avertissement

Remarque :

Vous devez définir le daystoexpireparamètre si vous voulez le warnpriorndaysfaire.

Voici un exemple de message d’avertissement sur une console NetScaler CLI :

Message d'avertissement de la veille

Avertir les utilisateurs du changement de mot de passe nsroot à l’aide de l’interface graphique

  1. Accédez à Configuration > Système > Paramètres > Modifier les paramètres généraux du système.
  2. Dans la section Autres paramètres , définissez les paramètres suivants :
    • Jours d’expiration
    • Avertir les N jours précédents

    Définir la notification dans l'interface graphique

  3. Cliquez sur OK.

Forcer la modification du mot de passe pour les utilisateurs administratifs

Pour nsrootune authentification sécurisée, NetScaler invite l’utilisateur à remplacer le mot de passe par défaut par un nouveau si forcePasswordChangel’option est activée dans le paramètre système. Vous pouvez modifier votre mot de passe nsroot depuis l’interface de ligne de commande ou l’interface graphique, lors de votre première connexion avec les informations d’identification par défaut

À l’invite de commandes, tapez :

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Exemple de session SSH pour NSIP :

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

Supprimer les fichiers sensibles d’un compte utilisateur du système

Pour gérer les données sensibles telles que les clés autorisées et les clés publiques d’un compte utilisateur du système, vous devez activer removeSensitiveFiles cette option. Les commandes qui suppriment les fichiers sensibles lorsque le paramètre système est activé sont les suivantes :

  • rm cluster instance
  • rm cluster node
  • nœud de haute disponibilité rm
  • effacer la configuration complète
  • join cluster
  • add cluster instance

À l’invite de commandes, tapez :

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

Exemple :

set system parameter -removeSensitiveFiles ENABLED

Configuration robuste des mots de passe pour les utilisateurs du système

Pour une authentification sécurisée, NetScaler invite les utilisateurs du système et les administrateurs à définir des mots de passe sécurisés pour se connecter à la console. Le mot de passe doit être long et doit être une combinaison des éléments suivants :

  • Un caractère minuscule
  • Un caractère en majuscule
  • Un caractère numérique
  • Un caractère spécial

À l’invite de commandes, tapez :

set system parameter -strongpassword <value> -minpasswordlen <value>

Où,

Strongpassword. Après avoir activé le mot de passe fort (enable all / enablelocal), tous les mots de passe ou informations sensibles doivent comporter les éléments suivants :

  • Au moins 1 caractère minuscule
  • Au moins 1 caractère majuscule
  • Au moins 1 caractère numérique
  • Au moins 1 caractère spécial

Exclure la liste dans enablelocal is - NS_FIPS, NS_CRL, NS_RSAKEY, NS_PKCS12, NS_PKCS8, NS_LDAP, NS_TACACS, NS_TACACSACTION, NS_RADIUS, NS_RADIUSACTION, NS_ENCRYPTION_PARAMS. Aucune vérification du mot de passe fort n’est donc effectuée sur ces commandes ObjectType pour l’utilisateur du système.

Valeurs possibles : enableall, enablelocal, désactivé Valeur par défaut : désactivé

minpasswordlen. Longueur minimale du mot de passe utilisateur du système. Lorsque le mot de passe fort est activé par défaut, la longueur minimale est de 4. La valeur saisie par l’utilisateur peut être supérieure ou égale à 4. La valeur minimale par défaut est 1 lorsque le mot de passe fort est désactivé. La valeur maximale est de 127 dans les deux cas.

Valeur minimale : 1 Valeur maximale : 127

Exemple :

set system parameter -strongpassword enablelocal -minpasswordlen 6

Compte utilisateur par défaut

Le nsrecovercompte utilisateur est utilisé par l’administrateur pour récupérer l’appliance NetScaler. Vous pouvez vous connecter à NetScaler si nsrecoverles utilisateurs du système par défaut (nsroot) ne peuvent pas se connecter en raison de problèmes imprévus. Le login nsrecover est indépendant des configurations utilisateur et vous permet d’accéder directement à l’invite du shell. Vous êtes toujours autorisé à vous connecter via le, que nsrecoverla limite de configuration maximale soit atteinte ou non.