Standard-Administratorkonten
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Das Administratorkonto sollte eingeschränkt sein, da die Rolle des Administrators Zugriff über alle Anwendungen erhält. Das Diagnose-Konto gewährt Zugriff auf die System-Shell und sollte nur für den technischen Support reserviert werden, um Fehlerbehebungsaufgaben durchzuführen.
Es gibt zwei standardmäßige Administratorkonten: admin
Und diag
.
Verwaiste Konten sind ein wichtiger Sicherheitsvektor und führen oft zu Schwachstellen, einschließlich der Eskalation von Berechtigungen. Dabei handelt es sich um unnötige und nicht genutzte Konten, die im Benutzerkonto-Repository verbleiben. Dabei handelt es sich in erster Linie um Standardkonten, die nie verwendet wurden oder für die Passwörter nie aktualisiert oder geändert wurden. Um dieses Problem zu beheben, unterstützt ONTAP das Entfernen und Umbenennen von Konten.
ONTAP kann integrierte Konten nicht entfernen oder umbenennen. NetApp empfiehlt jedoch, nicht benötigte integrierte Konten mit dem Sperrbefehl zu sperren. |
Auch wenn verwaiste Konten ein erhebliches Sicherheitsproblem darstellen, empfiehlt NetApp dringend, die Auswirkungen des Entfernens von Konten aus dem lokalen Konto-Repository zu testen.
Lokale Konten auflisten
Führen Sie zum Auflisten der lokalen Konten den Befehl aus security login show
.
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 6 entries were displayed.
Entfernen Sie das Standard-Administratorkonto
Das admin
Konto hat die Rolle des Administrators und ist über alle Anwendungen zugänglich.
-
Weiteres Konto auf Administratorebene erstellen.
Um das Standardkonto vollständig zu entfernen
admin
, müssen Sie zuerst ein anderes Administratorkonto erstellen, das die Anmeldeanwendung verwendetconsole
.Diese Änderungen können zu unerwünschten Auswirkungen führen. Testen Sie immer zuerst neue Einstellungen, die sich auf den Sicherheitsstatus der Lösung auf einem nicht produktiven Cluster auswirken können. Beispiel:
cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
-
Nachdem Sie das neue Administratorkonto erstellt haben, testen Sie den Zugriff auf dieses Konto mit der
NewAdmin
Anmeldung. Konfigurieren Sie mit derNewAdmin
Anmeldung das Konto so, dass es die gleichen Anmeldeanwendungen hat wie das Standard- oder das vorherige Administratorkonto (z. B.http
,ontapi
,service-processor`oder `ssh
). Dieser Schritt stellt sicher, dass die Zugriffssteuerung erhalten bleibt.Beispiel:
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password
-
Nachdem alle Funktionen getestet wurden, können Sie das Administratorkonto für alle Anwendungen deaktivieren, bevor Sie es aus ONTAP entfernen. Dieser Schritt dient als abschließender Test, um zu bestätigen, dass es keine anhaltenden Funktionen gibt, die auf das vorherige Administratorkonto angewiesen sind.
cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *
-
Führen Sie den folgenden Befehl aus, um das Standard-Administratorkonto und alle Einträge zu entfernen:
cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application * cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no NewAdmin http password admin no no NewAdmin ontapi password admin no no NewAdmin service-processor password admin no no NewAdmin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
Legen Sie das Kennwort für das Diagnosekonto (diag) fest
Ein Diagnosekonto mit dem Namen diag
wird im Lieferumfang des Speichersystems angegeben. Sie können das Konto verwenden diag
, um Fehlerbehebungsaufgaben im durchzuführen systemshell
. Das diag
Konto ist das einzige Konto, mit dem über den privilegierten Befehl auf die Systemshell zugegriffen werden kann diag
systemshell
.
Die Systemshell und das zugehörige diag Konto sind für Low-Level-Diagnosezwecke vorgesehen. Ihr Zugriff erfordert die Berechtigungsebene für die Diagnose und darf nur unter Anleitung des technischen Supports verwendet werden, um Fehlerbehebungsaufgaben durchzuführen. Weder diag das Konto noch das systemshell sind für allgemeine administrative Zwecke bestimmt.
|
Bevor Sie auf den zugreifen systemshell
, müssen Sie das Kontokennwort mit dem Befehl festlegen diag
security login password
. Verwenden Sie strenge Passwort-Prinzipien und ändern Sie das diag
Passwort in regelmäßigen Abständen.
-
Legen Sie das Kennwort für den Kontobenutzer fest
diag
:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%