Citrix ADC

OTPシークレットデータを暗号化形式で保存

Citrix ADCリリース13.0ビルド41.20以降、OTPシークレットデータはプレーンテキストではなく暗号化された形式で保存できます。

以前は、Citrix ADCアプライアンスは、OTPシークレットをプレーンテキストとしてADに保存していました。OTP シークレットをプレーンテキストで保存すると、悪意のある攻撃者や管理者が他のユーザーの共有シークレットを表示してデータを悪用する可能性があるため、セキュリティ上の脅威が生じます。

暗号化パラメーターは、AD での OTP シークレットの暗号化を有効にします。Citrix ADCバージョン13.0ビルド41.20に新しいデバイスを登録し、暗号化パラメーターを有効にすると、OTPシークレットはデフォルトで暗号化された形式で保存されます。ただし、暗号化パラメータが無効になっている場合、OTP シークレットはプレーンテキスト形式で保存されます。

13.0 ビルド 41.20 より前に登録されたデバイスの場合は、ベストプラクティスとして以下を実行する必要があります。

  1. 13.0のCitrix ADCアプライアンスを13.0ビルド41.20にアップグレードします。
  2. アプライアンスで暗号化パラメータを有効にします。
  3. OTP シークレット移行ツールを使用して、OTP シークレットデータをプレーンテキスト形式から暗号化形式に移行します。

OTP シークレット移行ツールの詳細については、「OTP 暗号化ツール」を参照してください。

重要:

管理者として、以下の条件を満たしていることを確認してください。

  • セルフサービスパスワードリセット機能の一部として KBA を使用していない場合は、OTP シークレットを暗号化するように新しい証明書を構成する必要があります。

    • 証明書をVPNグローバルにバインド するには、次のコマンドを使用できます。

    bind vpn global -userDataEncryptionKey c1

  • すでに証明書を使用して KBA を暗号化している場合は、同じ証明書を使用して OTP シークレットを暗号化できます。

CLI を使用して OTP 暗号化データを有効にするには

コマンドプロンプトで、次のように入力します。

set aaa otpparameter [-encryption ( ON | OFF )]

set aaa otpparameter -encryption ON

GUI を使用して OTP 暗号化を構成するには

  1. [セキュリティ] > [AAA — アプリケーショントラフィック] に移動し、[認証 **設定] セクションの [認証 AAA OTP パラメータの変更**] をクリックします。
  2. [AAA OTP パラメータの設定] ページで、[OTP シークレット暗号化] を選択します。
  3. [OK] をクリックします。

OTP 通知を受信するためのエンドユーザデバイスの数の設定

管理者は、エンドユーザが OTP 通知または認証を受信するために登録できるデバイスの数を設定できるようになりました。

CLI を使用して OTP のデバイス数を設定するには

コマンドプロンプトで、次のように入力します。

set aaa otpparameter [-maxOTPDevices <positive_integer>]

set aaa otpparameter -maxOTPDevices 4

GUI を使用してデバイス数を構成するには

  1. [セキュリティ] > [AAA — アプリケーショントラフィック] に移動し、[認証 **設定] セクションの [認証AAA OTP パラメータの変更**] をクリックします。
  2. [AAA OTP パラメータの設定] ページで、[設定済み OTP デバイスの最大数] の値を入力します。
  3. [OK] をクリックします。

    ローカライズされた画像

OTPシークレットデータを暗号化形式で保存