Devolver una unidad FIPS o SED al modo sin protección
Sugerir cambios
PDF
Una unidad FIPS o SED está protegida del acceso no autorizado solo si el ID de clave de autenticación del nodo está establecido en un valor distinto del predeterminado. Puede devolver una unidad FIPS o SED al modo sin protección mediante el storage encryption disk modify Comando para establecer el ID de clave en el valor predeterminado.
Si una pareja de alta disponibilidad utiliza unidades SAS o NVMe cifradas (SED, NSE, FIPS), debe seguir este proceso para todas las unidades de la pareja de alta disponibilidad antes de inicializar el sistema (opciones de arranque 4 o 9). Si las unidades se reasignan, es posible que no se produzcan pérdidas de datos futuras.
Para realizar esta tarea, debe ser un administrador de clústeres.
-
Configure el nivel de privilegio en Advanced:
set -privilege advanced -
Si una unidad FIPS se ejecuta en el modo de cumplimiento de normativas FIPS, establezca el ID de clave de autenticación FIPS del nodo nuevamente en el ID de MSID 0x0 predeterminado:
storage encryption disk modify -disk disk_id -fips-key-id 0x0Puede utilizar el
security key-manager queryComando para ver los ID clave.cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.Confirme que la operación se ha realizado correctamente con el comando:
storage encryption disk show-statusRepita el comando show-status hasta que los números en “Disks comenzada” y “Disks Done” sean los mismos.
cluster1:: storage encryption disk show-status FIPS Latest Start Execution Disks Disks Disks Node Support Request Timestamp Time (sec) Begun Done Successful ------- ------- -------- ------------------ ---------- ------ ------ ---------- cluster1 true modify 1/18/2022 15:29:38 3 14 5 5 1 entry was displayed. -
Vuelva a establecer el ID de clave de autenticación de datos del nodo en el MSID 0x0 predeterminado:
storage encryption disk modify -disk disk_id -data-key-id 0x0Valor de
-data-key-idDebe configurarse en 0x0 si devuelve una unidad SAS o NVMe al modo sin protección.Puede utilizar el
security key-manager queryComando para ver los ID clave.cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.Confirme que la operación se ha realizado correctamente con el comando:
storage encryption disk show-statusRepita el comando show-status hasta que los números sean iguales. La operación se completa cuando los números de «discos iniciados» y «discos realizados» son los mismos.
Modo de mantenimiento
A partir de ONTAP 9.7, es posible volver a introducir una unidad FIPS en modo de mantenimiento. Solo debe utilizar el modo de mantenimiento si no puede utilizar las instrucciones de la CLI de ONTAP de la sección anterior.
-
Establezca el ID de clave de autenticación FIPS del nodo de nuevo en el MSID 0x0 predeterminado:
disk encrypt rekey_fips 0x0 disklist -
Vuelva a establecer el ID de clave de autenticación de datos del nodo en el MSID 0x0 predeterminado:
disk encrypt rekey 0x0 disklist -
Confirme que la clave de autenticación FIPS se ha recodificado correctamente:
disk encrypt show_fips -
Confirmar que la clave de autenticación de datos se ha recodificado correctamente con:
disk encrypt showEs probable que la salida muestre el ID de clave predeterminado de MSID 0x0 o el valor de 64 caracteres que contiene el servidor de claves. La
Locked?el campo hace referencia al bloqueo de datos.
Disk FIPS Key ID Locked? ---------- --------------------------- ------- 0a.01.0 0x0 Yes