目标:
修改Citrix Gateway用户密码有两种方式:强制修改和用户初始化修改。如CTX201133文章所述“如何修改NetScaler网关和AAA-TM用户的LDAP认证密码”,要强制更改,请使用更改AAA-TM用户密码的过程。
如果启用用户初始化密码修改,则用户登录后,门户页面右上角会出现“修改密码”选项。
用例:
Citrix Gateway用户希望可以选择更改自己的密码,而不依赖于管理员。
预备知识
在允许用户更改密码之前,请确保:
- 完成Active Directory基本认证的配置。请参见CTX108876 -如何在NetScaler设备上配置LDAP认证。
- 配置CitrixGateway虚拟服务器并绑定LDAP策略。
- 访问LDAP和Active Directory使用SSL(端口636)。
介绍说明
Citrix ADC 图形界面
1.使用NetScaler图形界面为Citrix Gateway用户启用修改密码选项。
2.在“基本认证”区域,单击“LDAP策略”。
3.选择要编辑的LDAP策略,并从“Select Action”列表中选择“Edit Server”。
4.向下滚动到其他设置,并选择“Allow Password Chang”复选框。
5. 登录到由您配置的虚拟服务器管理的Citrix Gateway设备,并验证Change Password选项是否出现在屏幕的右上方。
Citrix ADC 命令行
使用命令行为Citrix网关用户启用修改密码选项:
1.打开一个命令行编辑器,并登录到ADC设备:
ssh nsroot@<NetScaler IP>
2.在编辑器中输入以下命令:
set authentication ldapaction <LdapServerName> passwdChange ENABLED
有关此命令的更多信息,请参阅Citrix文档。
3.输入show authentication ldapaction <LdapServerName>,验证配置。
例如:
附加资源
故障排除:
1.当您尝试使用密码已过期的用户登录时,Citrix Gateway将提示您更改密码。这将是路径 https://FQDN/cgi/login的一部分。
2.在aaad.debug期间,你可能会注意到一个以不同格式记录的消息,但它将有一个代码773作为它的一部分,这段代码是LDAP提到密码必须更改的方式。下面是关于这些消息可能出现的两个例子:
Example 1: ns_show_ldap_err_string LDAP error string: <<80090308: LdapErr: DSID-0C0903C5, comment: AcceptSecurityContext error, data 773, v2580>>
Example 2: receive_ldap_user_search_event expired AD password detected delaying update until user bind sends dos code 0x773
摘录:Citrix KB: CTX219939