Skip to main content
ONTAP Technical Reports
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Comptes d'administration par défaut

Contributeurs netapp-dbagwell
PDF

Le compte admin doit être restreint car le rôle d'administrateur est autorisé à accéder à l'aide de toutes les applications. Le compte diag permet l'accès à l'interpréteur de commandes du système et ne doit être réservé qu'au support technique pour effectuer les tâches de dépannage.

Il existe deux comptes d'administration par défaut : admin et diag.

Les comptes orphelins sont un vecteur de sécurité majeur qui entraîne souvent des vulnérabilités, y compris l'escalade des privilèges. Il s'agit de comptes inutiles et inutilisés qui restent dans le référentiel de comptes d'utilisateurs. Il s'agit principalement de comptes par défaut qui n'ont jamais été utilisés ou pour lesquels les mots de passe n'ont jamais été mis à jour ou modifiés. Pour résoudre ce problème, ONTAP prend en charge la suppression et le changement de nom des comptes.

Remarque ONTAP ne peut ni supprimer ni renommer les comptes intégrés. Cependant, NetApp recommande de verrouiller tous les comptes intégrés inutiles à l'aide de la commande lock.

Bien que les comptes orphelins constituent un problème de sécurité important, NetApp recommande fortement de tester l'effet de la suppression des comptes du référentiel de comptes local.

Répertorie les comptes locaux

Pour lister les comptes locaux, exécutez la security login show commande.

cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
6 entries were displayed.

Définissez le mot de passe du compte de diagnostic (diag)

Un compte de diagnostic nommé diag est fourni avec votre système de stockage. Vous pouvez utiliser le diag compte pour effectuer des tâches de dépannage dans systemshell. Le diag compte est le seul compte qui peut être utilisé pour accéder au systemshell via la diag commande Privileged systemshell.

Avertissement Le systemshell et le compte associé diag sont destinés à des fins de diagnostic de bas niveau. Leur accès requiert le niveau de privilège diagnostic et est réservé uniquement pour être utilisé avec l'aide du support technique pour effectuer des tâches de dépannage. Ni le compte ni le n' diag systemshell est destiné à des fins administratives générales.
Avant de commencer

Avant d'accéder au systemshell, vous devez définir le diag mot de passe du compte à l'aide de la security login password commande. Vous devez utiliser des principes de mot de passe forts et modifier le diag mot de passe à intervalles réguliers.

Étapes

  1. Définissez le diag mot de passe de l'utilisateur du compte :

    cluster1::> set -privilege diag

Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? \{y|n}: y

cluster1::*> systemshell -node node-01
    (system node systemshell)
diag@node-01's password:

Warning: The system shell provides access to low-level
diagnostic tools that can cause irreparable damage to
the system if not used properly. Use this environment
only when directed to do so by support personnel.

node-01%