Citrix ADC

用户帐户和密码管理

Citrix ADC 允许您管理用户帐户和密码配置。以下是您可以为设备上的系统用户帐户或 nsroot 管理用户帐户执行的一些活动。

  • 系统用户帐户锁定
  • 锁定系统用户帐户以进行管理访问
  • 解锁锁定的系统用户帐户以进行管理访问
  • 禁用系统用户帐户的管理访问权限
  • 强制更改 nsroot 管理用户的密码
  • 删除系统用户帐户中的敏感文件
  • 系统用户的强密码配置

系统用户帐户锁定

要使用无效的登录尝试配置系统用户锁定功能,必须在用户参数中配置 maxloginAttemptsfailedLoginTimeout 值。

在命令提示窗口中,键入:

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value>

示例:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10

使用 GUI 配置系统用户帐户锁定

  1. 导航到配置 > 安全性 > AAA 应用程序流量 > 验证设置 > 更改验证 AAA 设置
  2. 配置 AAA 参数页中,设置以下参数:

    1. 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
    2. 登录超时失败。用户无效登录尝试的最大次数。
  3. 单击确定

系统用户帐户锁定的 GUI 配置

设置参数时,对于三次或更多次无效登录尝试,用户帐户将被锁定 10 分钟。此外,即使使用有效凭据,用户也无法登录 10 分钟。

注意:

如果锁定的用户尝试登录到设备,RBA Authentication Failure: maxlogin attempt reached for test. 将显示一条错误消息。

锁定系统用户帐户以进行管理访问

Citrix ADC 设备允许您锁定系统用户 24 小时,并拒绝用户访问。

Citrix ADC 设备支持系统用户和外部用户的配置。

注意:

只有在禁用 aaa 参数中的 persistentLoginAttempts 选项时,才支持该功能。

在命令提示符处键入:

set aaa parameter –persistentLoginAttempts DISABLED

现在,要锁定用户帐户,请在命令提示符处键入:

lock aaa user test

使用 GUI 锁定系统用户帐户

  1. 导航到配置 > 安全性 > AAA 应用程序流量 > 验证设置 > 更改验证 AAA 设置

用于锁定系统用户帐户的 GUI 过程

  1. 配置 AAA 参数中的持久登录尝试列表中,选择禁用
  2. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  3. 选择一个用户。
  4. 在“选择操作”列表中,选择锁定

选择锁定选项

注意:

Citrix ADC GUI 没有锁定外部用户的选项。要锁定外部用户,ADC 管理员必须使用 CLI。 当锁定的系统用户(使用锁定身份验证、授权和审核用户命令锁定)尝试登录到 Citrix ADC 时,设备将显示一条错误消息:“RBA 身份验证失败:用户测试被锁定 24 小时”。

当用户被锁定以登录管理访问权限时,控制台访问将被豁免。锁定的用户可以登录到控制台。

解锁锁定的系统用户帐户以进行管理访问

使用锁定身份验证、授权和审核用户命令,系统用户和外部用户可以锁定 24 小时。

注意:

ADC 设备允许管理员解锁锁定的用户,该功能不需要在“持久登录尝试”命令中进行任何设置。

在命令提示窗口中,键入:

unlock aaa user test

使用 GUI 配置系统用户解锁

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 选择一个用户。
  3. 单击解锁

    配置系统用户解锁

Citrix ADC GUI 仅列出在 ADC 中创建的系统用户,因此 GUI 中没有解锁外部用户的选项。要解锁外部用户,nsroot 管理员必须使用 CLI。

禁用系统用户帐户的管理访问权限

如果在设备上配置了外部身份验证,并且作为管理员,您希望拒绝系统用户登录管理访问权限,则必须禁用系统参数中的 LocalAuth 选项。

在命令提示符处,键入以下内容:

set system parameter localAuth <ENABLED|DISABLED>

示例:

set system parameter localAuth DISABLED

通过使用 GUI 禁用对系统用户的管理访问

  1. 导航到配置 > 系统 > 设置 > 更改全局系统设置
  2. 命令行界面 (CLI) 部分中,取消选中本地身份验证复选框。

    禁用对系统用户的管理访问的 GUI 过程

禁用此选项后,本地系统用户无法登录 ADC 管理访问权限。

注意:

外部身份验证服务器必须配置并可访问,以禁止在系统参数中进行本地系统用户身份验证。如果无法访问 ADC 中配置用于管理访问的外部服务器,则本地系统用户可以登录设备。该行为是为了恢复目的而设置的。

强制更改管理用户的密码

对于 nsroot 安全身份验证,Citrix ADC 设备会提示用户将默认密码更改为新密码(如果在系统参数中启用了 forcePasswordChange 选项)。您可以在首次使用默认凭据登录时从 CLI 或 GUI 更改 nsroot 密码。

在命令提示窗口中,键入:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

NSIP 的 SSH 会话示例:

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done

系统用户锁定配置

为了防止暴力安全攻击,您可以配置用户锁定配置。此配置允许网络管理员阻止系统用户登录到 Citrix ADC 设备,并在锁定期限到期前解锁用户帐户。

在命令提示窗口中,键入:

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value>

示例:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10

使用 GUI 配置系统用户锁定配置

  1. 导航到配置 > 安全性 > AAA 应用程序流量 > 验证设置 > 更改验证 AAA 设置
  2. 配置 AAA 参数页中,设置以下参数:

    1. 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
    2. 登录超时失败。用户无效登录尝试的最大次数。
  3. 单击确定”

配置系统用户锁定

设置参数时,如果有三次以上的无效登录尝试,则用户帐户将被锁定 10 分钟。此外,即使使用有效凭据,用户也无法登录 10 分钟。

注意:

如果锁定的用户尝试登录到设备,则会显示错误消息,“RBA 身份验证失败:达到 maxlogin 尝试进行测试。“显示。

删除系统用户帐户中的敏感文件

要管理敏感数据,如系统用户帐户的授权密钥和公钥,必须启用 removeSensitiveFiles 选项。启用系统参数时删除敏感文件的命令包括:

  • rm cluster instance
  • rm cluster node
  • rm high availability node
  • clear config full
  • join cluster
  • add cluster instance

在命令提示窗口中,键入:

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

示例:

set system parameter -removeSensitiveFiles ENABLED

系统用户的强密码配置

对于安全身份验证,Citrix ADC 设备会提示系统用户和管理员设置强密码以登录设备。密码必须长且必须由以下组合组成:

  • 一个小写字符。
  • 一个大写字符
  • 一个数字字符。
  • 一个特殊字符。

在命令提示窗口中,键入:

set system parameter -strongpassword <value> -minpasswordlen <value>

其中,

Strongpassword。启用强密码后(enable all /enablelocal 所有密码或敏感信息必须有-至少 1 个小写字符,至少 1 个大写字符,至少 1 个数字字符,至少 1 个特殊的字符。排除 enablelocal 中的列表为 - NS_FIPSNS_CRLNS_RSAKEYNS_PKCS12、NS_PKCS8、NS_LDAP、NS_TACACSNS_TACACSACTIONNS_RADIUSNS_RADIUSACTIONNS_ENCRYPTION_PARAMS。因此,系统用户不会对这些 ObjectType 命令执行强密码检查。

可能的值:enableallenablelocal、disabled 默认值:disabled

minpasswordlen。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认最小值为 1。在这两种情况下,最大值均为 127。

最小值:1 最大值:127

示例:

set system parameter -strongpassword enablelocal -minpasswordlen 6