Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Standard-Administratorkonten

Beitragende
PDFs

Das Administratorkonto sollte eingeschränkt sein, da die Rolle des Administrators Zugriff über alle Anwendungen erhält. Das Diagnose-Konto gewährt Zugriff auf die System-Shell und sollte nur für den technischen Support reserviert werden, um Fehlerbehebungsaufgaben durchzuführen.

Es gibt zwei standardmäßige Administratorkonten: admin Und diag.

Verwaiste Konten sind ein wichtiger Sicherheitsvektor und führen oft zu Schwachstellen, einschließlich der Eskalation von Berechtigungen. Dabei handelt es sich um unnötige und nicht genutzte Konten, die im Benutzerkonto-Repository verbleiben. Dabei handelt es sich in erster Linie um Standardkonten, die nie verwendet wurden oder für die Passwörter nie aktualisiert oder geändert wurden. Um dieses Problem zu beheben, unterstützt ONTAP das Entfernen und Umbenennen von Konten.

Hinweis ONTAP kann integrierte Konten nicht entfernen oder umbenennen. NetApp empfiehlt jedoch, nicht benötigte integrierte Konten mit dem Sperrbefehl zu sperren.

Auch wenn verwaiste Konten ein erhebliches Sicherheitsproblem darstellen, empfiehlt NetApp dringend, die Auswirkungen des Entfernens von Konten aus dem lokalen Konto-Repository zu testen.

Lokale Konten auflisten

Führen Sie zum Auflisten der lokalen Konten den Befehl aus security login show .

cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
6 entries were displayed.

Legen Sie das Kennwort für das Diagnosekonto (diag) fest

Ein Diagnosekonto mit dem Namen diag wird im Lieferumfang des Speichersystems angegeben. Sie können das Konto verwenden diag , um Fehlerbehebungsaufgaben im durchzuführen systemshell. Das diag Konto ist das einzige Konto, mit dem über den privilegierten Befehl auf die Systemshell zugegriffen werden kann diag systemshell.

Achtung Die Systemshell und das zugehörige diag Konto sind für Low-Level-Diagnosezwecke vorgesehen. Ihr Zugriff erfordert die Berechtigungsebene für die Diagnose und darf nur unter Anleitung des technischen Supports verwendet werden, um Fehlerbehebungsaufgaben durchzuführen. Weder diag das Konto noch das systemshell sind für allgemeine administrative Zwecke bestimmt.
Bevor Sie beginnen

Bevor Sie auf den zugreifen systemshell, müssen Sie das Kontokennwort mit dem Befehl festlegen diag security login password . Verwenden Sie strenge Passwort-Prinzipien und ändern Sie das diag Passwort in regelmäßigen Abständen.

Schritte

  1. Legen Sie das Kennwort für den Kontobenutzer fest diag :

    cluster1::> set -privilege diag

Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? \{y|n}: y

cluster1::*> systemshell -node node-01
    (system node systemshell)
diag@node-01's password:

Warning: The system shell provides access to low-level
diagnostic tools that can cause irreparable damage to
the system if not used properly. Use this environment
only when directed to do so by support personnel.

node-01%