Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Parámetros de inicio de sesión y contraseña

Colaboradores
PDF

Una postura de seguridad efectiva se adhiere a las políticas organizativas establecidas, directrices y cualquier gobierno o estándares que se apliquen a la organización. Algunos ejemplos de estos requisitos incluyen la vida útil del nombre de usuario, los requisitos de longitud de contraseña, los requisitos de caracteres y el almacenamiento de dichas cuentas. La solución ONTAP ofrece características y funciones para abordar estos problemas de seguridad.

Nuevas funciones de cuenta local

Para admitir las políticas, directrices o estándares de cuentas de usuario de una organización, incluida la gobernanza, ONTAP admite las siguientes funciones:

  • Configuración de políticas de contraseñas para aplicar un número mínimo de dígitos, caracteres en minúsculas o caracteres en mayúsculas

  • Se requiere un retraso después de un intento fallido de inicio de sesión

  • Definición del límite inactivo de la cuenta

  • Vencimiento de una cuenta de usuario

  • Mostrando un mensaje de advertencia de caducidad de contraseña

  • Notificación de una conexión no válida

Nota Los ajustes configurables se gestionan mediante el comando security login role config modify.

Compatibilidad con SHA-512

Para mejorar la seguridad de las contraseñas, ONTAP 9 admite la función hash de contraseña SHA-2 y utiliza por defecto SHA-512 para hash de contraseñas recién creadas o modificadas. Los operadores y administradores también pueden caducar o bloquear cuentas según sea necesario.

Las cuentas de usuario de ONTAP 9 preexistentes con contraseñas sin modificar siguen utilizando la función hash MD5 después de la actualización a ONTAP 9,0 o posterior. Sin embargo, NetApp recomienda encarecidamente que estas cuentas de usuario migren a la solución SHA-512 más segura al hacer que los usuarios cambien sus contraseñas.

La funcionalidad hash de contraseña le permite realizar las siguientes tareas:

  • Muestra las cuentas de usuario que coinciden con la función hash especificada:

    cluster1::*> security login show -user-or-group-name NewAdmin -fields  hash-function
vserver  user-or-group-name application authentication-method hash-function
-------- ------------------ ----------- --------------------- -------------
cluster1 NewAdmin           console     password              sha512
cluster1 NewAdmin           ontapi      password              sha512
cluster1 NewAdmin           ssh         password              sha512

  • Las cuentas Expire que utilizan una función hash especificada (por ejemplo, MD5), que obliga a los usuarios a cambiar sus contraseñas en el siguiente inicio de sesión:

    cluster1::*> security login expire-password -vserver * -username * -hash-function md5

  • Bloquear cuentas con contraseñas que utilizan la función hash especificada.

    cluster1::*> security login lock -vserver * -username * -hash-function md5

    La función hash de contraseña es desconocida para el usuario interno autosupport de la SVM administrativa del clúster. Este problema es cosmético. La función hash es desconocida porque este usuario interno no tiene una contraseña configurada por defecto.

    • Para ver la función hash de contraseña del autosupport usuario, ejecute los siguientes comandos:

      ::> set advanced
::> security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: unknown
Second Authentication Method2: none

    • Para establecer la función hash de contraseña (valor por defecto: SHA512), ejecute el siguiente comando:

      ::> security login password -username autosupport

      No importa en qué se establezca la contraseña.

    security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: sha512
Second Authentication Method2: none

Parámetros de contraseña

La solución de ONTAP admite parámetros de contraseña que abordan los requisitos y las directrices de las políticas de la organización y los respaldan.

Atributo Descripción Predeterminado Rango

username-minlength

Longitud mínima de nombre de usuario requerida

3

3-16

username-alphanum

Nombre de usuario alfanumérico

deshabilitado

Activado/Desactivado

passwd-minlength

Longitud mínima requerida de contraseña

8

3-64

passwd-alphanum

Contraseña alfanumérica

activado

Activado/Desactivado

passwd-min-special-chars

Número mínimo de caracteres especiales requeridos en la contraseña

0

0-64

passwd-expiry-time

Tiempo de caducidad de la contraseña (en días)

Ilimitado, lo que significa que las contraseñas nunca caducan

0-ilimitado

0 == vence ahora

require-initial-passwd-update

Requerir la actualización inicial de la contraseña en el primer inicio de sesión

Deshabilitado

Activado/Desactivado

Cambios permitidos a través de la consola o SSH

max-failed-login-attempts

Número máximo de intentos fallidos

0, no bloquee la cuenta

-

lockout-duration

Período máximo de bloqueo (en días)

El valor predeterminado es 0, lo que significa que la cuenta está bloqueada durante un día

-

disallowed-reuse

No permitir las últimas N contraseñas

6

El mínimo es 6

change-delay

Retraso entre cambios de contraseña (en días)

0

-

delay-after-failed-login

Retraso tras cada intento de inicio de sesión fallido (en segundos)

4

-

passwd-min-lowercase-chars

Número mínimo de caracteres alfabéticos en minúscula necesarios en la contraseña

0, que no requiere caracteres en minúsculas

0-64

passwd-min-uppercase-chars

Núm. Mínimo de caracteres alfabéticos en mayúsculas necesario

0, que no requiere caracteres en mayúsculas

0-64

passwd-min-digits

Número mínimo de dígitos necesarios en la contraseña

0, que no requiere dígitos

0-64

passwd-expiry-warn-time

Mostrar mensaje de advertencia antes del vencimiento de la contraseña (en días)

Ilimitado, lo que significa que nunca advierta sobre la caducidad de la contraseña

0, lo que significa advertir al usuario sobre la caducidad de la contraseña cada vez que se inicia sesión correctamente

account-expiry-time

La cuenta caduca en N días

Ilimitado, lo que significa que las cuentas nunca caducan

La hora de vencimiento de la cuenta debe ser mayor que el límite inactivo de la cuenta

account-inactive-limit

Duración máxima de la inactividad antes del vencimiento de la cuenta (en días)

Ilimitado, lo que significa que las cuentas inactivas nunca caducan

El límite inactivo de la cuenta debe ser inferior al tiempo de vencimiento de la cuenta
Ejemplo
cluster1::*> security login role config show -vserver cluster1 -role admin

                                          Vserver: cluster1
                                        Role Name: admin
                 Minimum Username Length Required: 3
                           Username Alpha-Numeric: disabled
                 Minimum Password Length Required: 8
                           Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
                       Password Expires In (Days): unlimited
   Require Initial Password Update on First Login: disabled
                Maximum Number of Failed Attempts: 0
                    Maximum Lockout Period (Days): 0
                      Disallow Last 'N' Passwords: 6
            Delay Between Password Changes (Days): 0
     Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
                        Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
Nota A partir de 9.14.1, se aumenta la complejidad y las reglas de bloqueo de las contraseñas. Esto se aplica solo a las nuevas instalaciones de ONTAP.