Citrix ADC

用户帐户和密码管理

Citrix ADC 使您能够管理用户帐户和密码配置。以下是您可以为设备上的系统用户帐户或 nsroot 管理用户帐户执行的一些活动。

  • 系统用户帐户锁定
  • 锁定系统用户帐户进行管理访问
  • 解锁锁定的系统用户帐户以进行管理访问
  • 禁用系统用户帐户的管理访问
  • 强制更改 nsroot 管理用户的密码
  • 删除系统用户帐户中的敏感文件
  • 系统用户的强密码配置

系统用户帐户锁定

要防止暴力安全攻击,您可以配置用户锁定配置。该配置使网络管理员能够阻止系统用户登录 Citrix ADC 设备。此外,还可以在锁定期限到期之前解锁用户帐户。

在命令提示符下,键入:

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

注意

必须启用 “PersistentLoginTerms” 参数才能获取不成功的用户登录尝试的持久存储的详细信息。

示例:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

使用 GUI 配置系统用户帐户锁定

  1. 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA 设置
  2. 在“配置 AAA 参数”页中,设置以下参数:

    1. 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
    2. 登录超时失败。用户尝试无效登录的最大次数。
    3. 持久登录尝试。持久存储不成功的用户登录尝试。
  3. 单击 OK(确定)。

    用于系统用户帐户锁定的 GUI 配置

设置参数后,用户帐户将被锁定 10 分钟,以进行三次或更多次无效登录尝试。此外,即使使用有效凭据 10 分钟,用户也无法登录。

注意

如果锁定的用户尝试登录到设备,RBA Authentication Failure: maxlogin attempt reached for test. 将显示一条错误消息。

锁定系统用户帐户进行管理访问

Citrix ADC 设备使您能够将系统用户锁定 24 小时并拒绝对该用户的访问。

Citrix ADC 设备支持系统用户和外部用户的配置。

注意

只有在禁用 aaa 参数中的 persistentLoginAttempts 选项时,才支持该功能。

在命令提示符下,键入:

set aaa parameter –persistentLoginAttempts DISABLED

现在,要锁定用户帐户,请在命令提示符下键入:

lock aaa user test

使用 GUI 锁定系统用户帐户

  1. 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA 设置

    用于锁定系统用户帐户的 GUI 过程

  2. 在“配置 AAA 参数”中的“持久登录尝试”列表中,选择“禁用”。
  3. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  4. 选择一个用户。
  5. 在“选择操作”列表中,选择“锁定”。

    选择锁定选项

注意

Citrix ADC GUI 没有锁定外部用户的选项。要锁定外部用户,ADC 管理员必须使用 CLI。 当锁定的系统用户(使用锁定身份验证、授权和审核用户命令锁定)尝试登录 Citrix ADC 时,设备将显示错误消息 “RBA 身份验证失败:用户测试被锁定 24 小时”。

当用户被锁定以登录管理访问权限时,控制台访问权限将被豁免。锁定的用户能够登录控制台。

解锁锁定的系统用户帐户以进行管理访问

使用锁定身份验证、授权和审核用户命令可以将系统用户和外部用户锁定 24 小时。

注意

ADC 设备允许管理员解锁锁定的用户,该功能不需要在“持久登录尝试”命令中进行任何设置。

在命令提示符下,键入:

unlock aaa user test

使用 GUI 配置系统用户解锁

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 选择一个用户。
  3. 单击“解锁”。

    配置系统用户解锁

Citrix ADC GUI 仅列出在 ADC 中创建的系统用户,因此 GUI 中没有解锁外部用户的选项。要解锁外部用户, nsroot 管理员必须使用 CLI。

禁用系统用户帐户的管理访问

如果在设备上配置了外部身份验证,并且作为管理员,您希望拒绝系统用户登录管理访问权限的访问权限,则必须禁用系统参数中的 LocalAuth 选项。

在命令提示符下,键入以下内容:

set system parameter localAuth <ENABLED|DISABLED>

示例:

set system parameter localAuth DISABLED

使用 GUI 禁用对系统用户的管理访问

  1. 导航到配置 > 系统 > 设置 > 更改全局系统设置
  2. 命令行界面 (CLI) 部分中,取消选中本地身份验证复选框。

    用于禁用系统用户的管理访问的 GUI 过程

通过禁用该选项,本地系统用户将无法登录 ADC 管理访问。

注意

必须配置外部身份验证服务器并可访问,才能在系统参数中禁止本地系统用户身份验证。如果在 ADC 中配置的用于管理访问的外部服务器无法访问,则本地系统用户可以登录到设备。该行为是为了恢复目的而设置的。

强制管理用户更改密码

对于 nsroot 安全身份验证,Citrix ADC 设备会提示用户将默认密码更改为新密码(如果在系统参数中启用了 forcePasswordChange 选项)。您可以在首次使用默认凭据登录时从 CLI 或 GUI 更改 nsroot 密码。

在命令提示符下,键入:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

NSIP 的 SSH 会话示例:

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

删除系统用户帐户中的敏感文件

要管理敏感数据,如系统用户帐户的授权密钥和公钥,必须启用 removeSensitiveFiles 选项。启用系统参数时删除敏感文件的命令包括:

  • rm cluster instance
  • rm cluster node
  • rm high availability node
  • clear config full
  • join cluster
  • add cluster instance

在命令提示符下,键入:

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

示例:

set system parameter -removeSensitiveFiles ENABLED

系统用户的强密码配置

对于安全身份验证,Citrix ADC 设备会提示系统用户和管理员设置强密码以登录到设备。密码必须长且必须是以下内容的组合:

  • 一个小写字符
  • 一个大写字符
  • 一个数字字符
  • 一个特殊角色

在命令提示符下,键入:

set system parameter -strongpassword <value> -minpasswordlen <value>

其中,

Strongpassword。启用强密码 (enable all/enablelocal) 后,所有密码或敏感信息必须具有以下条件:

  • 至少 1 个小写字符
  • 至少 1 个大写字符
  • 至少 1 个数字字符
  • 至少 1 个特殊角色

排除 enablelocal 中的列表为 - NS_FIPSNS_CRLNS_RSAKEYNS_PKCS12、NS_PKCS8、NS_LDAP、NS_TACACSNS_TACACSACTIONNS_RADIUSNS_RADIUSACTIONNS_ENCRYPTION_PARAMS。因此,系统用户不会对这些 ObjectType 命令执行强密码检查。

可能的值:enableallenablelocal、disabled 默认值:disabled

minpasswordlen。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认最小值为 1。在这两种情况下,最大值都是 127。

最小值:1 最大值:127

示例:

set system parameter -strongpassword enablelocal -minpasswordlen 6

默认用户帐户

管理员可以使用 nsrecover 用户帐户恢复 Citrix ADC 设备。如果默认系统用户 (nsroot) 由于任何不可预见的问题无法登录,您可以使用 nsrecover 登录 ADC 设备。nsrecover 登录信息独立于用户配置,可让您直接访问 shell 提示符。无论是否达到最大配置限制,您始终都可以通过 nsrecover 登录。