Aplicar SHA-2 en contraseñas de cuenta de administrador
Las cuentas de administrador creadas antes de ONTAP 9.0 siguen utilizando contraseñas MD5 después de la actualización, hasta que las contraseñas se modifican manualmente. MD5 es menos seguro que SHA-2. Por lo tanto, después de la actualización, debería pedir a los usuarios de cuentas MD5 que cambien sus contraseñas para utilizar la función hash SHA-512 predeterminada.
La funcionalidad hash de contraseña le permite hacer lo siguiente:
-
Muestra las cuentas de usuario que coinciden con la función hash especificada.
-
Caducar cuentas que utilizan una función hash especificada (por ejemplo, MD5), obligando a los usuarios a cambiar sus contraseñas en su siguiente inicio de sesión.
-
Bloquear cuentas cuyas contraseñas utilizan la función hash especificada.
-
Al volver a una versión anterior a ONTAP 9, restablezca la contraseña propia del administrador del clúster para que sea compatible con la función hash (MD5) admitida por la versión anterior.
ONTAP solo acepta contraseñas SHA-2 predefinidas mediante el SDK de capacidad de gestión de NetApp (security-login-create
y.. security-login-modify-password
).
-
Migrar las cuentas de administrador MD5 a la función hash de contraseña SHA-512:
-
Caducar todas las cuentas de administrador de MD5:
security login expire-password -vserver * -username * -hash-function md5
Al hacerlo, se obliga a los usuarios de cuentas MD5 a cambiar sus contraseñas al siguiente inicio de sesión.
-
Pida a los usuarios de cuentas MD5 que inicien sesión a través de una consola o una sesión SSH.
El sistema detecta que las cuentas han caducado y solicita a los usuarios que cambien sus contraseñas. SHA-512 se utiliza de forma predeterminada para las contraseñas modificadas.
-
-
Para las cuentas MD5 cuyos usuarios no inician sesión para cambiar sus contraseñas en un período de tiempo, fuerce la migración de la cuenta:
-
Cuentas de bloqueo que todavía utilizan la función hash MD5 (nivel de privilegio avanzado):
security login expire-password -vserver * -username * -hash-function md5 -lock-after integer
Después del número de días especificado por
-lock-after
, Los usuarios no pueden acceder a sus cuentas MD5. -
Desbloquee las cuentas cuando los usuarios estén preparados para cambiar sus contraseñas:
security login unlock -vserver svm_name -username user_name
-
Hacer que los usuarios inicien sesión en sus cuentas mediante una sesión SSH o de consola y cambien sus contraseñas cuando el sistema les solicite que lo hagan.
-