Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

SHA-2 für Passwörter für Administratorkonten erzwingen

Beitragende
PDFs

Vor ONTAP 9.0 erstellte Administratorkonten verwenden nach dem Upgrade weiterhin MD5-Passwörter, bis die Passwörter manuell geändert werden. MD5 ist weniger sicher als SHA-2. Daher sollten Sie nach dem Upgrade Benutzer von MD5-Konten auffordern, ihre Passwörter zu ändern, um die Standard-SHA-512-Hash-Funktion zu verwenden.

Über diese Aufgabe

Mit der Passwort-Hash-Funktion können Sie Folgendes tun:

  • Zeigt Benutzerkonten an, die mit der angegebenen Hash-Funktion übereinstimmen.

  • Verfallen von Konten, die eine angegebene Hash-Funktion verwenden (z. B. MD5), sodass die Benutzer ihre Passwörter bei der nächsten Anmeldung ändern müssen.

  • Konten sperren, deren Passwörter die angegebene Hash-Funktion verwenden.

  • Wenn Sie auf eine Version vor ONTAP 9 zurücksetzen, setzen Sie das Kennwort des Clusteradministrators zurück, damit es mit der Hash-Funktion (MD5) kompatibel ist, die von der früheren Version unterstützt wird.

ONTAP akzeptiert vorgehashte SHA-2-Passwörter nur unter Verwendung von NetApp Manageability SDK (security-login-create und security-login-modify-password).

Schritte

  1. Migrieren Sie die MD5-Administratorkonten auf die SHA-512-Passwort-Hash-Funktion:

    1. Alle MD5-Administratorkonten ablaufen lassen: security login expire-password -vserver * -username * -hash-function md5

      Dadurch werden MD5-Kontobenutzer gezwungen, ihre Passwörter bei der nächsten Anmeldung zu ändern.

    2. Benutzer von MD5-Konten bitten, sich über eine Konsole oder SSH-Sitzung anzumelden.

      Das System erkennt, dass die Konten abgelaufen sind, und fordert Benutzer auf, ihre Passwörter zu ändern. SHA-512 wird standardmäßig für die geänderten Passwörter verwendet.

  2. Bei MD5-Konten, deren Benutzer sich nicht anmelden, um ihre Passwörter innerhalb eines bestimmten Zeitraums zu ändern, erzwingen Sie die Kontomigration:

    1. Sperren von Konten, die weiterhin die MD5-Hash-Funktion verwenden (erweiterte Berechtigungsebene): security login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      Nach der von angegebenen Anzahl von Tagen -lock-after können Benutzer nicht auf ihre MD5-Konten zugreifen.

    2. Entsperren Sie die Konten, wenn die Benutzer bereit sind, ihre Passwörter zu ändern: security login unlock -vserver svm_name -username user_name

    3. Benutzer müssen sich über eine Konsole oder SSH-Sitzung bei ihren Konten anmelden und ihre Passwörter ändern, wenn das System sie dazu auffordert.