Anmelde- und Kennwortparameter
Änderungen vorschlagen
PDFs
Eine effektive Sicherheitslage hält die festgelegten Unternehmensrichtlinien, Richtlinien und alle Governance- oder Standards ein, die für das Unternehmen gelten. Beispiele für diese Anforderungen sind die Lebensdauer des Benutzernamens, Anforderungen an die Länge des Passworts, Zeichenanforderungen und die Speicherung solcher Konten. Die ONTAP-Lösung bietet Funktionen für diese Sicherheitsstrukturen.
Neue lokale Kontofunktionen
Zur Unterstützung der Richtlinien, Richtlinien oder Standards für Benutzerkonten eines Unternehmens, einschließlich Governance, wird in ONTAP die folgende Funktionalität unterstützt:
-
Konfigurieren von Passwortrichtlinien zur Durchsetzung einer Mindestanzahl von Ziffern, Kleinbuchstaben oder Großbuchstaben
-
Nach einem fehlgeschlagenen Anmeldeversuch ist eine Verzögerung erforderlich
-
Definition des inaktiven Kontonormienlimits
-
Ablaufen eines Benutzerkontos
-
Eine Warnmeldung zum Ablauf des Kennworts wird angezeigt
-
Benachrichtigung über eine ungültige Anmeldung
|
Konfigurierbare Einstellungen werden über den Befehl Security Login role config modify verwaltet. |
SHA-512-Unterstützung
Um die Passwortsicherheit zu verbessern, unterstützt ONTAP 9 die SHA-2-Passwort-Hash-Funktion und verwendet standardmäßig SHA-512, um neu erstellte oder geänderte Passwörter zu hashen. Operatoren und Administratoren können Konten auch nach Bedarf ablaufen lassen oder sperren.
Bereits vorhandene ONTAP 9-Benutzerkonten mit unveränderten Kennwörtern verwenden nach dem Upgrade auf ONTAP 9.0 oder höher weiterhin die MD5-Hash-Funktion. NetApp empfiehlt jedoch dringend, dass diese Benutzerkonten auf die sicherere SHA-512-Lösung migriert werden, indem Benutzer ihre Passwörter ändern müssen.
Mit der Passwort-Hash-Funktion können Sie die folgenden Aufgaben ausführen:
-
Benutzerkonten anzeigen, die mit der angegebenen Hash-Funktion übereinstimmen:
cluster1::*> security login show -user-or-group-name NewAdmin -fields hash-function vserver user-or-group-name application authentication-method hash-function -------- ------------------ ----------- --------------------- ------------- cluster1 NewAdmin console password sha512 cluster1 NewAdmin ontapi password sha512 cluster1 NewAdmin ssh password sha512
-
Konten ablaufen lassen, die eine bestimmte Hash-Funktion (z. B. MD5) verwenden, wodurch Benutzer bei der nächsten Anmeldung gezwungen werden, ihr Passwort zu ändern:
cluster1::*> security login expire-password -vserver * -username * -hash-function md5
-
Sperren Sie Konten mit Kennwörtern, die die angegebene Hash-Funktion verwenden.
cluster1::*> security login lock -vserver * -username * -hash-function md5
Die Passwort-Hash-Funktion ist für den internen Benutzer in der Administrations-SVM des Clusters unbekannt
autosupport. Dieses Problem ist kosmetisch. Die Hash-Funktion ist unbekannt, da dieser interne Benutzer standardmäßig kein konfiguriertes Passwort hat.-
Um die Passwort-Hash-Funktion für den Benutzer anzuzeigen
autosupport, führen Sie die folgenden Befehle aus:::> set advanced ::> security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: unknown Second Authentication Method2: none -
Um die Passwort-Hash-Funktion (Standard: sha512) einzustellen, führen Sie den folgenden Befehl aus:
::> security login password -username autosupport
Es spielt keine Rolle, auf welche Art das Passwort eingestellt ist.
security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: sha512 Second Authentication Method2: none -
Kennwortparameter
Die ONTAP Lösung unterstützt Kennwortparameter, die die Anforderungen und Richtlinien des Unternehmens erfüllen und unterstützen.
| Attribut | Beschreibung | Standard | Bereich |
|---|---|---|---|
|
Mindestlänge des Benutzernamens erforderlich |
3 |
3-16 |
|
Benutzername alphanumerisch |
Deaktiviert |
Aktiviert/deaktiviert |
|
Mindestlänge des Passworts erforderlich |
8 |
3-64 |
|
Alphanumerisches Passwort |
Aktiviert |
Aktiviert/deaktiviert |
|
Mindestanzahl an Sonderzeichen im Passwort erforderlich |
0 |
0-64 |
|
Passwortablaufzeit (in Tagen) |
Unbegrenzt, d. h. die Passwörter laufen nie ab |
0-unbegrenzt 0 == Jetzt ablaufen lassen |
|
Erste Kennwortaktualisierung bei der ersten Anmeldung erforderlich |
Deaktiviert |
Aktiviert/deaktiviert Änderungen sind über Konsole oder SSH zulässig |
|
Maximale Anzahl fehlgeschlagener Versuche |
0, Konto nicht sperren |
- |
|
Maximale Sperrzeit (in Tagen) |
Der Standardwert ist 0, was bedeutet, dass das Konto für einen Tag gesperrt ist |
- |
|
Letzte N-Kennwörter nicht zulassen |
6 |
Der Mindestwert beträgt 6 |
|
Verzögerung zwischen Passwortänderungen (in Tagen) |
0 |
- |
|
Verzögerung nach jedem fehlgeschlagenen Anmeldeversuch (in Sekunden) |
4 |
- |
|
Mindestanzahl an Kleinbuchstaben im Passwort erforderlich |
0. Dies erfordert keine Kleinbuchstaben |
0-64 |
|
Mindestanzahl an alphabetischen Großbuchstaben erforderlich |
0. Dies erfordert keine Großbuchstaben |
0-64 |
|
Mindestanzahl an Ziffern im Passwort erforderlich |
0, die keine Ziffern erfordert |
0-64 |
|
Warnmeldung vor Ablauf des Passworts anzeigen (in Tagen) |
Unbegrenzt, was bedeutet, dass Sie nie vor Ablauf des Passworts warnen |
0. Dies bedeutet, dass der Benutzer bei jeder erfolgreichen Anmeldung über den Ablauf des Passworts informiert wird |
|
Konto läuft in N Tagen ab |
Unbegrenzt, d. h. die Konten laufen nie ab |
Die Verfallszeit des Kontos muss größer sein als das Limit für inaktive Konten |
|
Maximale Dauer der Inaktivität vor Ablauf des Kontos (in Tagen) |
Unbegrenzt. Das bedeutet, dass die inaktiven Konten nie ablaufen |
Das Limit für inaktive Konten muss kleiner als die Ablaufdatum des Kontos sein |
cluster1::*> security login role config show -vserver cluster1 -role admin
Vserver: cluster1
Role Name: admin
Minimum Username Length Required: 3
Username Alpha-Numeric: disabled
Minimum Password Length Required: 8
Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
Password Expires In (Days): unlimited
Require Initial Password Update on First Login: disabled
Maximum Number of Failed Attempts: 0
Maximum Lockout Period (Days): 0
Disallow Last 'N' Passwords: 6
Delay Between Password Changes (Days): 0
Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
|
|
Seit 9.14.1 gibt es eine erhöhte Komplexität und Sperrregeln für Passwörter. Dies gilt nur für Neuinstallationen von ONTAP. |