In 身份验证、授权和审核应用程序流量
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In 身份验证、授权和审核应用程序流量
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
查看 PDF

以加密格式存储 OTP 机密数据

January 5, 2021
贡献者: 
C

从 Citrix ADC 版本 13.0 Biuld 41.20 开始,OTP 机密数据可以以加密格式存储,而不是纯文本格式存储。

以前,Citrix ADC 设备在 AD 中以纯文本形式存储 OTP 密钥。以纯文本形式存储 OTP 机密会构成安全威胁,因为恶意攻击者或管理员可能会通过查看其他用户的共享机密来利用数据。

加密参数可在 AD 中对 OTP 密钥进行加密。当您使用 Citrix ADC 版本 13.0 Biuld 41.20 注册新设备并启用加密参数时,默认情况下,OTP 密钥将以加密格式存储。但是,如果禁用加密参数,OTP 密钥将以纯文本格式存储。

对于在 13.0 Biuld 41.20 之前注册的设备,您必须执行以下操作作为最佳实践:

  1. 将 13.0 Citrix ADC 设备升级到 13.0 Biuld 41.20 版本。
  2. 在设备上启用加密参数。
  3. 使用 OTP 秘密迁移工具将 OTP 秘密数据从纯文本格式迁移到加密格式。

有关 OTP 秘密迁移工具的详细信息,请参阅 OTP 加密工具。

重要

Citrix 建议您以管理员身份确保满足以下条件:

  • 如果您不使用 KBA 作为自助服务密码重置功能的一部分,则必须将新证书配置为加密 OTP 机密。

    • 要将证书绑定到 VPN 全局,您可以使用以下命令:

    bind vpn global -userDataEncryptionKey c1

  • 如果您已经使用证书加密 KBA,则可以使用同一证书加密 OTP 机密。

使用 CLI 启用 OTP 加密数据

在命令提示窗口中,键入:

set aaa otpparameter [-encryption ( ON | OFF )]

示例

set aaa otpparameter -encryption ON

使用 GUI 配置 OTP 加密

  1. 导航到安全 > AAA - 应用程序流量,然后单击身份验证设置部分下的更改身份验证 AAA OTP 参数
  2. 配置 AAA OTP 参数页上,选择 OTP 秘密加密
  3. 单击确定。

配置用于接收 OTP 通知的最终用户设备数量

管理员现在可以配置最终用户可以注册以接收 OTP 通知或身份验证的设备数。

使用 CLI 配置 OTP 中的设备数量

在命令提示窗口中,键入:

set aaa otpparameter [-maxOTPDevices <positive_integer>]

示例

set aaa otpparameter -maxOTPDevices 4

使用 GUI 配置设备数量

  1. 导航到安全 > AAA-应用程序流量,单击身份验证设置部分下的更改身份验证 AAA OTP 参数
  2. 配置 AAA OTP 参数页上,输入已配置的最大 OTP 设备的值。

  3. 单击确定

    本地化后的图片

以加密格式存储 OTP 机密数据
January 5, 2021
贡献者: 
C
January 5, 2021
贡献者: 
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie 首选项 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.