Versionshinweise
SHA-2 für Passwörter für Administratorkonten erzwingen
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Vor ONTAP 9.0 erstellte Administratorkonten verwenden nach dem Upgrade weiterhin MD5-Passwörter, bis die Passwörter manuell geändert werden. MD5 ist weniger sicher als SHA-2. Daher sollten Sie nach dem Upgrade Benutzer von MD5-Konten auffordern, ihre Passwörter zu ändern, um die Standard-SHA-512-Hash-Funktion zu verwenden.
Mit der Passwort-Hash-Funktion können Sie Folgendes tun:
-
Zeigt Benutzerkonten an, die mit der angegebenen Hash-Funktion übereinstimmen.
-
Verfallen von Konten, die eine angegebene Hash-Funktion verwenden (z. B. MD5), sodass die Benutzer ihre Passwörter bei der nächsten Anmeldung ändern müssen.
-
Konten sperren, deren Passwörter die angegebene Hash-Funktion verwenden.
-
Wenn Sie auf eine Version vor ONTAP 9 zurücksetzen, setzen Sie das Kennwort des Clusteradministrators zurück, damit es mit der Hash-Funktion (MD5) kompatibel ist, die von der früheren Version unterstützt wird.
ONTAP akzeptiert vorgehashte SHA-2-Passwörter nur unter Verwendung des NetApp Manageability SDK (security-login-create Und security-login-modify-password).
-
Migrieren Sie die MD5-Administratorkonten auf die SHA-512-Passwort-Hash-Funktion:
-
Alle MD5-Administratorkonten verfallen:
security login expire-password -vserver * -username * -hash-function md5Dadurch werden MD5-Kontobenutzer gezwungen, ihre Passwörter bei der nächsten Anmeldung zu ändern.
-
Benutzer von MD5-Konten bitten, sich über eine Konsole oder SSH-Sitzung anzumelden.
Das System erkennt, dass die Konten abgelaufen sind, und fordert Benutzer auf, ihre Passwörter zu ändern. SHA-512 wird standardmäßig für die geänderten Passwörter verwendet.
-
-
Bei MD5-Konten, deren Benutzer sich nicht anmelden, um ihre Passwörter innerhalb eines bestimmten Zeitraums zu ändern, erzwingen Sie die Kontomigration:
-
Konten sperren, die weiterhin die MD5-Hash-Funktion verwenden (erweiterte Berechtigungsebene):
security login expire-password -vserver * -username * -hash-function md5 -lock-after integerNach der von angegebenen Anzahl von Tagen
-lock-after, Benutzer können nicht auf ihre MD5-Konten zugreifen. -
Entsperren Sie die Konten, wenn die Benutzer bereit sind, ihre Passwörter zu ändern:
security login unlock -vserver svm_name -username user_name -
Benutzer müssen sich über eine Konsole oder SSH-Sitzung bei ihren Konten anmelden und ihre Passwörter ändern, wenn das System sie dazu auffordert.
-