ADC

用户帐户和密码管理

NetScaler 使您能够管理用户帐户和密码配置。以下是您可以使用系统用户帐户或 nsroot管理用户帐户执行的一些活动。

  • 系统用户帐户锁定
  • 锁定系统用户帐户以获得管理访问权限
  • 解锁锁锁定的系统用户帐户以获得管理访问权限
  • 禁用系统用户帐户的管理访问权限
  • 通知用户更改 nsroot 密码
  • 强制 nsroot 管理员用户更改密码
  • 删除系统用户帐户中的敏感文件
  • 为系统用户配置强大的密码

系统用户帐户锁定

为防止暴力安全攻击,您可以配置用户锁定配置。该配置使网络管理员能够阻止系统用户登录 NetScaler。此外,在锁定期到期之前解锁用户帐户。

要获取重启后用户登录尝试失败的persistentLoginAttempts详细信息,可以启用该 参数。

在命令提示符下,键入:

set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED)

示例:

set aaa parameter -maxloginAttempts 3 -failedLoginTimeout 10 -persistentLoginAttempts ENABLED

注意:

要使 aaa.user.login_attempts表达式生效,必须禁用 “持续登录尝试” 参数。

运行该 unset aaa parameter -persistentLoginAttempts命令以禁用(如果启用)永久登录尝试。

有关登录尝试功能的详细信息,请参阅 支持检索用户当前的登录尝试。

以下 show 命令输出显示身份验证、授权和审计参数的配置状态:

show aaaparameter

Configured AAA parameters

EnableStaticPageCaching: YES

EnableEnhancedAuthFeedback: NO

DefaultAuthType: LOCAL MaxAAAUsers: Unlimited

AAAD nat ip: None

EnableSessionStickiness : NO

aaaSessionLoglevel: INFORMATIONAL

AAAD Log Level: INFORMATIONAL

...

Persistent Login Attempts: DISABLED

<!--NeedCopy-->

使用 GUI 配置系统用户帐户锁定

  1. 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA设置。
  2. 配置 AAA 参数 页面中,设置以下参数:

    1. 最大登录尝试次数。允许用户尝试的最大登录尝试次数。
    2. 登录超时失败。用户尝试无效登录的最大次数。
    3. 持续登录尝试。永久存储重启后失败的用户登录尝试。
  3. 单击确定

    系统用户帐户锁定的 GUI 配置

设置参数时,用户帐户因三次或三次以上无效登录尝试而被锁定 10 分钟。此外,即使在 10 分钟内使用有效凭据,用户也无法登录。

注意

如果锁定用户尝试登录 NetScaler,则会显示一条错误消RBA Authentication Failure: maxlogin attempt reached for test.息。

锁定系统用户帐户以获得管理访问权限

NetScaler 使您可以锁定系统用户 24 小时并拒绝该用户的访问。

NetScaler 支持系统用户和外部用户的配置。

注意

只有在禁用 aaa 参数中的 persistentLoginAttempts 选项时,才支持该功能。

在命令提示符下,键入:

set aaa parameter –persistentLoginAttempts DISABLED

现在,要锁定用户帐户,请在命令提示符下键入:

lock aaa user test

使用 GUI 锁定系统用户帐户

  1. 导航到 配置 > 安全 > AAA 应用程序流量 > 身份验证设置 > 更改身份验证 AAA设置。
  2. 在“配置 AAA 参数”的“持续登录尝试”列表中,选择“已禁用”。
  3. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  4. 选择一个用户。
  5. 在“选择操作”列表中,选择“锁定”。

    选择锁定选项

注意

NetScaler GUI 没有锁定外部用户的选项。要锁定外部用户,ADC 管理员必须使用 CLI。 当锁定系统用户(使用锁定认证、授权和审计用户命令锁定)尝试登录 NetScaler 时,会出现一条错误消息,“RBA 认证失败:用户测试被锁定 24 小时。”

当用户被锁定无法登录到管理访问权限时,控制台访问权限将被豁免。锁定用户能够登录到控制台。

解锁锁锁定的系统用户帐户以获得管理访问权限

使用锁定身份验证、授权和审核用户命令可以将系统用户和外部用户锁定 24 小时。

注意

NetScaler 允许管理员解锁锁定用户,并且该功能不需要在 “PersistentLoginAttempts” 命令中进行任何设置。

在命令提示符下,键入:

unlock aaa user test

使用 GUI 配置系统用户解锁

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 选择一个用户。
  3. 单击“解锁”。

    配置系统用户解锁

NetScaler GUI 仅列出在 ADC 中创建的系统用户,因此 GUI 中没有解锁外部用户的选项。要解锁外部用户, nsroot 管理员必须使用 CLI。

禁用系统用户帐户的管理访问权限

在 NetScaler 上以管理员身份配置外部认证时,如果您希望拒绝系统用户登录管理权限,则必须禁用系统参数中的 LocalAuth 选项。

在命令提示符处,键入以下内容:

set system parameter localAuth <ENABLED|DISABLED>

示例:

set system parameter localAuth DISABLED

使用 GUI 禁用系统用户的管理访问权限

  1. 导航到“配置”>“系统”>“设置”>“更改全局系统设置”
  2. 命令行界面 (CLI) 部分,取消选中“本地身份验证”复选框。

禁用该选项后,本地系统用户无法登录 ADC 管理访问权限。

注意

外部身份验证服务器必须经过配置且可访问,才能在系统参数中禁止本地系统用户身份验证。如果无法访问在 ADC 中配置的用于管理访问的外部服务器,则本地系统用户可以登录到 NetScaler。该行为是为恢复目的而设置的。

通知用户更改 nsroot 密码

为了增强安全性,我们建议您经常更改 nsroot 密码。在密码到期之前,您会收到更改密码的通知。

您可以通过 CLI 或 GUI 为 nsroot 密码更改设置通知。

在命令提示符下,键入:

set system parameter -daystoexpire 30 -warnpriorndays 30
<!--NeedCopy-->

您可以配置以下参数:

  • daystoexpire-密码到期 的剩余天数
  • warnpriorndays-密码到期前发出警告的天数

注意:

如果要设置 daystoexpire 参数,则必须设置 warnpriorndays 参数。

以下是 NetScaler CLI 控制台上的警告消息示例:

Warnpriorndays 的消息

使用 GUI 通知用户更改 nsroot 密码

  1. 导航到“配置”>“系统”>“设置”>“更改全局系统设置”
  2. 其他设置部分中,设置以下参数:
    • 到期天数
    • 在 N 天之前发出警告

    在 GUI 中设置通知

  3. 单击确定

强制更改管理用户的密码

对于 安全nsroot认证,如果 在系统参数中启用了该选项,NetScaler 会提示用户将forcePasswordChange默认密码更改为新密码。首次使用默认凭据登录时,可以通过 CLI 或 GUI 更改 nsroot 密码。

在命令提示符下,键入:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

NSIP 的 SSH 会话示例:

ssh nsroot@1.1.1.1
Connecting to 1.1.1.1:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
###############################################################################
WARNING: Access to this system is for authorized users only #
Disconnect IMMEDIATELY if you are not an authorized user! #

###############################################################################
Please change the default NSROOT password.
Enter new password:
Please re-enter your password:
Done
<!--NeedCopy-->

删除系统用户帐户中的敏感文件

要管理敏感数据,例如系统用户帐户的授权密钥和公钥,必须启用 removeSensitiveFiles 选项。启用系统参数时删除敏感文件的命令有:

  • rm cluster instance
  • rm 群集节点
  • rm 高可用性节点
  • 清除配置已满
  • join cluster
  • add cluster instance

在命令提示符下,键入:

set system parameter removeSensitiveFiles ( ENABLED | DISABLED )

示例:

set system parameter -removeSensitiveFiles ENABLED

为系统用户配置强大的密码

为了进行安全认证,NetScaler 提示系统用户和管理员设置登录控制台的强密码。密码必须很长并且必须是以下各项的组合:

  • 一个小写字符
  • 一个大写字符
  • 一个数字字符
  • 一个特殊字符

在命令提示符下,键入:

set system parameter -strongpassword <value> -minpasswordlen <value>

其中,

Strongpassword。启用强密码 (enable all / enablelocal) 后,所有密码或敏感信息必须具有以下内容:

  • 至少 1 个小写字符
  • 至少 1 个大写字符
  • 至少 1 个数字字符
  • 至少 1 个特殊字符

排除 enablelocal 中的列表为 - NS_FIPSNS_CRLNS_RSAKEYNS_PKCS12、NS_PKCS8, NS_LDAP、NS_TACACSNS_TACACSACTIONNS_RADIUSNS_RADIUSACTIONNS_ENCRYPTION_PARAMS。因此,不会对系统用户的这些 ObjectType 命令执行强密码检查。

可能的值: enableallenablelocal,已禁用 默认值:禁用

minpasswordlen。系统用户密码的最小长度。默认情况下启用强密码时,最小长度为 4。用户输入的值可以大于或等于 4。禁用强密码时,默认的最小值为 1。两种情况下的最大值均为 127。

最小值:1 最大值:127

示例:

set system parameter -strongpassword enablelocal -minpasswordlen 6

默认用户帐户

管理员使用 nsrecover 用户帐户来恢复 NetScaler 设备。如果默认系统用nsrecover户 (nsroot) 由于任何不可预见的问题而无法登录,则 可以使用登录 NetScaler。 nsrecover 登录与用户配置无关,允许您直接访问 shell 提示符。无论是否达到最大配置限制,始终允许您通过 nsrecover 登录。