Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Appliquer SHA-2 sur les mots de passe du compte d'administrateur

Contributeurs

Les comptes d'administrateur créés avant ONTAP 9.0 continuent d'utiliser des mots de passe MD5 après la mise à niveau, jusqu'à ce que les mots de passe soient changés manuellement. MD5 est moins sécurisé que SHA-2. Par conséquent, après la mise à niveau, vous devez inviter les utilisateurs de comptes MD5 à modifier leurs mots de passe pour utiliser la fonction de hachage SHA-512 par défaut.

Description de la tâche

La fonctionnalité de hachage du mot de passe vous permet d'effectuer les opérations suivantes :

  • Affiche les comptes utilisateur correspondant à la fonction de hachage spécifiée.

  • Expire les comptes qui utilisent une fonction de hachage spécifiée (par exemple MD5), forçant les utilisateurs à modifier leurs mots de passe lors de leur prochaine connexion.

  • Verrouiller les comptes dont les mots de passe utilisent la fonction de hachage spécifiée.

  • Pour revenir à une version antérieure à ONTAP 9, réinitialisez le mot de passe de l'administrateur du cluster afin qu'il soit compatible avec la fonction de hachage (MD5) prise en charge par la version précédente.

ONTAP n'accepte que les mots de passe SHA-2 pré-hachés à l'aide du SDK de gestion NetApp (security-login-create et security-login-modify-password).

Étapes
  1. Migrez les comptes administrateur MD5 vers la fonction de hachage SHA-512 :

    1. Expire tous les comptes administrateur MD5 : security login expire-password -vserver * -username * -hash-function md5

      Cela oblige les utilisateurs de compte MD5 à changer leurs mots de passe lors de la prochaine connexion.

    2. Demandez aux utilisateurs de comptes MD5 de se connecter par le biais d'une console ou d'une session SSH.

      Le système détecte que les comptes ont expiré et invite les utilisateurs à modifier leur mot de passe. SHA-512 est utilisé par défaut pour les mots de passe modifiés.

  2. Pour les comptes MD5 dont les utilisateurs ne se connectent pas pour modifier leurs mots de passe dans un délai donné, forcez la migration du compte :

    1. Verrouiller les comptes qui utilisent toujours la fonction de hachage MD5 (niveau de privilège avancé) : security login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      Après le nombre de jours spécifié par -lock-after, Les utilisateurs ne peuvent pas accéder à leurs comptes MD5.

    2. Déverrouillez les comptes lorsque les utilisateurs sont prêts à modifier leur mot de passe : security login unlock -vserver svm_name -username user_name

    3. Demandez aux utilisateurs de se connecter à leurs comptes via une console ou une session SSH et de modifier leur mot de passe lorsque le système les invite à le faire.