Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Standard-Administratorkonten

Beitragende
PDFs

Das Administratorkonto sollte eingeschränkt sein, da die Rolle des Administrators Zugriff über alle Anwendungen erhält. Das Diagnose-Konto gewährt Zugriff auf die System-Shell und sollte nur für den technischen Support reserviert werden, um Fehlerbehebungsaufgaben durchzuführen.

Es gibt zwei standardmäßige Administratorkonten: admin Und diag.

Verwaiste Konten sind ein wichtiger Sicherheitsvektor und führen oft zu Schwachstellen, einschließlich der Eskalation von Berechtigungen. Dabei handelt es sich um unnötige und nicht genutzte Konten, die im Benutzerkonto-Repository verbleiben. Dabei handelt es sich in erster Linie um Standardkonten, die nie verwendet wurden oder für die Passwörter nie aktualisiert oder geändert wurden. Um dieses Problem zu beheben, unterstützt ONTAP das Entfernen und Umbenennen von Konten.

Hinweis ONTAP kann integrierte Konten nicht entfernen oder umbenennen. NetApp empfiehlt jedoch, nicht benötigte integrierte Konten mit dem Sperrbefehl zu sperren.

Auch wenn verwaiste Konten ein erhebliches Sicherheitsproblem darstellen, empfiehlt NetApp dringend, die Auswirkungen des Entfernens von Konten aus dem lokalen Konto-Repository zu testen.

Lokale Konten auflisten

Führen Sie zum Auflisten der lokalen Konten den Befehl aus security login show .

cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
6 entries were displayed.

Entfernen Sie das Standard-Administratorkonto

Das admin Konto hat die Rolle des Administrators und ist über alle Anwendungen zugänglich.

Schritte

  1. Weiteres Konto auf Administratorebene erstellen.

    Um das Standardkonto vollständig zu entfernen admin , müssen Sie zuerst ein anderes Administratorkonto erstellen, das die Anmeldeanwendung verwendet console .

    Hinweis Diese Änderungen können zu unerwünschten Auswirkungen führen. Testen Sie immer zuerst neue Einstellungen, die sich auf den Sicherheitsstatus der Lösung auf einem nicht produktiven Cluster auswirken können.

    Beispiel:

    cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
    cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
NewAdmin         console     password  admin            no     no
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
7 entries were displayed.

  2. Nachdem Sie das neue Administratorkonto erstellt haben, testen Sie den Zugriff auf dieses Konto mit der NewAdmin Anmeldung. Konfigurieren Sie mit der NewAdmin Anmeldung das Konto so, dass es die gleichen Anmeldeanwendungen hat wie das Standard- oder das vorherige Administratorkonto (z. B. http, ontapi, service-processor`oder `ssh). Dieser Schritt stellt sicher, dass die Zugriffssteuerung erhalten bleibt.

    Beispiel:

    cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password

  3. Nachdem alle Funktionen getestet wurden, können Sie das Administratorkonto für alle Anwendungen deaktivieren, bevor Sie es aus ONTAP entfernen. Dieser Schritt dient als abschließender Test, um zu bestätigen, dass es keine anhaltenden Funktionen gibt, die auf das vorherige Administratorkonto angewiesen sind.

    cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *

  4. Führen Sie den folgenden Befehl aus, um das Standard-Administratorkonto und alle Einträge zu entfernen:

    cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application *
cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
NewAdmin         console     password  admin            no     no
NewAdmin         http        password  admin            no     no
NewAdmin         ontapi      password  admin            no     no
NewAdmin         service-processor password admin       no     no
NewAdmin         ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
7 entries were displayed.

Legen Sie das Kennwort für das Diagnosekonto (diag) fest

Ein Diagnosekonto mit dem Namen diag wird im Lieferumfang des Speichersystems angegeben. Sie können das Konto verwenden diag , um Fehlerbehebungsaufgaben im durchzuführen systemshell. Das diag Konto ist das einzige Konto, mit dem über den privilegierten Befehl auf die Systemshell zugegriffen werden kann diag systemshell.

Achtung Die Systemshell und das zugehörige diag Konto sind für Low-Level-Diagnosezwecke vorgesehen. Ihr Zugriff erfordert die Berechtigungsebene für die Diagnose und darf nur unter Anleitung des technischen Supports verwendet werden, um Fehlerbehebungsaufgaben durchzuführen. Weder diag das Konto noch das systemshell sind für allgemeine administrative Zwecke bestimmt.
Bevor Sie beginnen

Bevor Sie auf den zugreifen systemshell, müssen Sie das Kontokennwort mit dem Befehl festlegen diag security login password . Verwenden Sie strenge Passwort-Prinzipien und ändern Sie das diag Passwort in regelmäßigen Abständen.

Schritte

  1. Legen Sie das Kennwort für den Kontobenutzer fest diag :

    cluster1::> set -privilege diag

Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? \{y|n}: y

cluster1::*> systemshell -node node-01
    (system node systemshell)
diag@node-01's password:

Warning: The system shell provides access to low-level
diagnostic tools that can cause irreparable damage to
the system if not used properly. Use this environment
only when directed to do so by support personnel.

node-01%