Citrix ADC

ユーザーアカウントとパスワードの管理

Citrix ADCを使用すると、ユーザーアカウントとパスワードの構成を管理できます。以下は、アプライアンスのシステムユーザーアカウントまたは nsroot 管理ユーザーアカウントに対して実行できるアクティビティの一部です。Google NMT

  • システムユーザーアカウントのロックアウト
  • 管理アクセスのためにシステムユーザーアカウントをロックする
  • 管理アクセスのためにシステムユーザーアカウントをロックする
  • システムユーザーアカウントの管理アクセスを無効にする
  • nsroot 管理ユーザーのパスワード変更を強制する
  • システムユーザーアカウントの機密ファイルを削除する
  • システムユーザーのための強いパスワード構成

システムユーザーアカウントのロックアウト

ブルートフォースセキュリティ攻撃を防ぐために、ユーザーロックアウト構成を構成できます。この構成により、ネットワーク管理者は、システムユーザーがCitrix ADCアプライアンスにログオンできないようにすることができます。また、ロック期間が終了する前にユーザーアカウントのロックを解除します。

コマンドプロンプトで入力します。

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

失敗したユーザーログイン試行の永続ストレージの詳細を取得するには、「persistentLoginAttempts」パラメーターを有効にする必要があります。

例:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

GUIを使用してシステムユーザーアカウントのロックアウトを構成する

  1. Configuration > Security > AAA-Application Traffic > Authentication Settings > Change authentication AAA Settingsに移動します。
  2. [ AAAパラメータ の設定]ページで、次のパラメータを設定します。

    1. 最大ログイン試行回数。ユーザーが試行できるログオン試行の最大数。
    2. ログインタイムアウトに失敗しました。ユーザーによる無効なログオン試行の最大数。
    3. 永続的なログイン試行。失敗したユーザーログイン試行の永続的なストレージ。
  3. [OK] をクリックします。

    システムユーザーアカウントロックアウトのGUI構成

パラメータを設定すると、3回以上の無効なログイン試行でユーザーアカウントが10分間ロックされます。また、ユーザーは有効な資格情報を使用しても10分間ログオンできません。

ロックされたユーザーがアプライアンスにログオンしようとすると、エラーメッセージ RBA Authentication Failure: maxlogin attempt reached for test. が表示されます。

管理アクセスのためにシステムユーザーアカウントをロックする

Citrix ADCアプライアンスを使用すると、システムユーザーを24時間ロックし、ユーザーへのアクセスを拒否できます。

Citrix ADCアプライアンスは、システムユーザーと外部ユーザーの両方の構成をサポートします。

この機能は、 aaa パラメーターで persistentLoginAttempts オプションを無効にした場合にのみサポートされます。

コマンドプロンプトで次のように入力します。

set aaa parameter –persistentLoginAttempts DISABLED

ここで、ユーザーアカウントをロックするには、コマンドプロンプトで次のように入力します。

lock aaa user test

GUIを使用してシステムユーザーアカウントをロックする

  1. Configuration > Security > AAA-Application Traffic > Authentication Settings > Change authentication AAA Settingsに移動します。

    システムユーザアカウントをロックする GUI 手順

  2. [ Configure AAA Parameter]の[ PersistentLogin Attempts] リストで、[ DISABLED]を選択します。
  3. [System]>[User Administration]>[Users]の順に選択します。
  4. ユーザーを選択してください。
  5. [アクションの選択]リストで、[ ロック]を選択します。

    ロックオプションを選択します

Citrix ADC GUIには、外部ユーザーをロックするオプションがありません。外部ユーザーをロックするには、ADC管理者はCLIを使用する必要があります。 ロックされたシステムユーザー(ロック認証、承認、および監査ユーザーコマンドでロックされている)がCitrix ADCにログインしようとすると、アプライアンスは「RBA認証の失敗:ユーザーテストが24時間ロックダウンされています」というエラーメッセージを表示します。

ユーザーが管理アクセスにログオンするためにロックされている場合、コンソールアクセスは免除されます。ロックされたユーザーはコンソールにログオンできます。

管理アクセスのためにシステムユーザーアカウントをロックする

システムユーザーと外部ユーザーは、lock authentication、authorization、and auditinguserコマンドを使用して24時間ロックできます。

ADCアプライアンスを使用すると、管理者はロックされたユーザーのロックを解除でき、この機能では「persistentloginAttempts」コマンドの設定は必要ありません。

コマンドプロンプトで入力します。

unlock aaa user test

GUIを使用してシステムユーザーのロック解除を構成する

  1. [System]>[User Administration]>[Users]の順に選択します。
  2. ユーザーを選択してください。
  3. [ロック解除] をクリックします。

    システムユーザーのロック解除を構成する

Citrix ADC GUIは、ADCで作成されたシステムユーザーのみを一覧表示するため、GUIには外部ユーザーのロックを解除するオプションはありません。外部ユーザーのロック解除をするには、nsroot管理者はCLIを使用する必要があります。

システムユーザーアカウントの管理アクセスを無効にする

アプライアンスで外部認証が構成されていて、管理者としてシステムユーザーへのアクセスを拒否して管理アクセスにログオンする場合は、システムパラメーターのlocalAuthオプションを無効にする必要があります。

コマンドプロンプトで、次のように入力します。

set system parameter localAuth <ENABLED|DISABLED>

例:

set system parameter localAuth DISABLED

GUIを使用して、システムユーザーへの管理アクセスを無効にします

  1. Configuration > System > Settings > Change Global System Settingsに移動します。
  2. Command Line Interface (CLI)セクションで、Local Authenticationチェックボックスをオフにします。

    システムユーザーへの管理アクセスを無効にするGUI手順

このオプションを無効にすると、ローカルシステムユーザーはADC管理アクセスにログオンできなくなります。

システムパラメータでローカルシステムユーザー認証を許可しないように、外部認証サーバーを構成して到達可能にする必要があります。管理アクセス用にADCで構成された外部サーバーに到達できない場合、ローカルシステムユーザーはアプライアンスにログオンできます。この動作は、回復を目的として設定されています。

管理ユーザーのパスワード変更を強制する

nsrootセキュア認証の場合、Citrix ADCアプライアンスはforcePasswordChangeオプションがシステムパラメーターで有効になっている場合、デフォルトのパスワードを新しいパスワードに変更するようメッセージを表示します。nsroot パスワードは、デフォルトの資格情報を使用した最初のログイン時に、CLIまたはGUIから変更できます。

コマンドプロンプトで、次のように入力します。

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

NSIPのSSHセッション例:

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

システムユーザーアカウントの機密ファイルを削除する

システムユーザーアカウントで認証キーやパブリックキーのような機密データを管理するには、removeSensitiveFilesオプションを有効にする必要があります。システムパラメータが有効になっているときに機密ファイルを削除するコマンドは次のとおりです。

  • rm cluster instance
  • rm cluster node
  • rm high availability node
  • clear config full
  • join cluster
  • add cluster instance

コマンドプロンプトで、次のように入力します。

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

例:

set system parameter -removeSensitiveFiles ENABLED

システムユーザーのための強いパスワード構成

安全な認証のために、Citrix ADCアプライアンスは、システムユーザーと管理者に、アプライアンスにログオンするための強力なパスワードを設定するように求めます。パスワードは長く、次の組み合わせである必要があります。

  • 1つの小文字
  • 1つの大文字
  • 1つの数字
  • 1つの特殊文字

コマンドプロンプトで、次のように入力します。

set system parameter -strongpassword <value> -minpasswordlen <value>

各項目の意味は次のとおりです。

Strongpassword。強力なパスワードを有効にした後(enable all / enablelocal)すべてのパスワードまたは機密情報には次のものが必要です。

  • 少なくとも1つの小文字
  • 少なくとも1つの大文字
  • 少なくとも1つの数字
  • 少なくとも1つの特殊文字

enablelocalで除外する一覧は-NS_FIPSNS_CRLNS_RSAKEYNS_PKCS12、NS_PKCS8、NS_LDAP、NS_TACACSNS_TACACSACTIONNS_RADIUSNS_RADIUSACTIONNS_ENCRYPTION_PARAMS。したがって、システムユーザーのこれらのObjectTypeコマンドに対して強力なパスワードチェックは実行されません。

可能な値: enableallenablelocal、無効 デフォルト値:無効

minpasswordlen。システムユーザーパスワードの最小の長さ。強力なパスワードがデフォルトで有効になっている場合、最小の長さは4です。4 以上の値が入力されている可能性があります。強力なパスワードが無効な場合、デフォルトの最低値は1です。どちらの場合でも最大値は127です。

最小値:1, 最大値:127

例:

set system parameter -strongpassword enablelocal -minpasswordlen 6

デフォルトのユーザーアカウント

管理者は、 nsrecover ユーザーアカウントを使用してCitrix ADCアプライアンスを回復できます。予期しない問題が原因でデフォルトのシステムユーザー(nsroot)がログインできない場合は、 nsrecover を使用してADCアプライアンスにログインできます。nsrecover ログインはユーザー構成に依存せず、シェルプロンプトに直接アクセスできます。構成の最大制限に達しているかどうかに関係なく、 nsrecover を介して常にログインできます。