Paramètres de connexion et de mot de passe
Suggérer des modifications
PDF
Une stratégie de sécurité efficace est conforme aux politiques, aux directives et à toute gouvernance ou norme établies de l'entreprise. La durée de vie du nom d'utilisateur, les exigences de longueur du mot de passe, les exigences en termes de caractères et le stockage de ces comptes sont des exemples de ces exigences. La solution ONTAP offre des fonctionnalités pour traiter ces constructions de sécurité.
Nouvelles fonctionnalités de compte local
Pour prendre en charge les stratégies, directives ou normes de compte utilisateur d'une entreprise, notamment la gouvernance, les fonctionnalités suivantes sont prises en charge dans ONTAP :
-
Configuration des stratégies de mot de passe pour appliquer un nombre minimum de chiffres, de minuscules ou de majuscules
-
Délai nécessaire après un échec de la tentative de connexion
-
Définition de la limite d'inactivité du compte
-
Expiration d'un compte utilisateur
-
Affichage d'un message d'avertissement d'expiration de mot de passe
-
Notification d'une connexion non valide
|
Les paramètres configurables sont gérés à l'aide de la commande Security login role config modify. |
Prise en charge de SHA-512
Pour améliorer la sécurité des mots de passe, ONTAP 9 prend en charge la fonction de hachage SHA-2 et utilise par défaut la fonction SHA-512 pour hacher les nouveaux mots de passe ou les mots de passe modifiés. Les opérateurs et les administrateurs peuvent également expirer ou verrouiller les comptes selon les besoins.
Les comptes utilisateur ONTAP 9 préexistants avec des mots de passe inchangés continuent d'utiliser la fonction de hachage MD5 après la mise à niveau vers ONTAP 9.0 ou version ultérieure. Cependant, NetApp recommande vivement de migrer ces comptes utilisateur vers la solution SHA-512 plus sécurisée en demandant aux utilisateurs de modifier leur mot de passe.
La fonctionnalité de hachage de mot de passe vous permet d'effectuer les tâches suivantes :
-
Afficher les comptes utilisateur correspondant à la fonction de hachage spécifiée :
cluster1::*> security login show -user-or-group-name NewAdmin -fields hash-function vserver user-or-group-name application authentication-method hash-function -------- ------------------ ----------- --------------------- ------------- cluster1 NewAdmin console password sha512 cluster1 NewAdmin ontapi password sha512 cluster1 NewAdmin ssh password sha512
-
Comptes expirés utilisant une fonction de hachage spécifiée (MD5, par exemple), qui oblige les utilisateurs à modifier leur mot de passe lors de la connexion suivante :
cluster1::*> security login expire-password -vserver * -username * -hash-function md5
-
Verrouiller les comptes avec des mots de passe utilisant la fonction de hachage spécifiée.
cluster1::*> security login lock -vserver * -username * -hash-function md5
La fonction de hachage password est inconnue pour l'utilisateur interne
autosupportdu SVM d'administration de votre cluster. Ce problème est cosmétique. La fonction de hachage est inconnue car cet utilisateur interne ne dispose pas d'un mot de passe configuré par défaut.-
Pour afficher la fonction de hachage du mot de passe de l'
autosupportutilisateur, exécutez les commandes suivantes :::> set advanced ::> security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: unknown Second Authentication Method2: none -
Pour définir la fonction de hachage du mot de passe (par défaut : sha512), exécutez la commande suivante :
::> security login password -username autosupport
La définition du mot de passe n'a pas d'importance.
security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: sha512 Second Authentication Method2: none -
Paramètres de mot de passe
La solution ONTAP prend en charge les paramètres de mot de passe qui répondent aux exigences et directives de l'entreprise et qui les prennent en charge.
| Attribut | Description | Valeur par défaut | Gamme |
|---|---|---|---|
|
Longueur minimale du nom d'utilisateur requise |
3 |
3-16 |
|
Nom d'utilisateur alphanumérique |
désactivé |
Activé/Désactivé |
|
Longueur minimale du mot de passe requise |
8 |
3-64 |
|
Mot de passe alphanumérique |
activé |
Activé/Désactivé |
|
Nombre minimum de caractères spéciaux requis dans le mot de passe |
0 |
0-64 |
|
Heure d'expiration du mot de passe (en jours) |
Illimité, ce qui signifie que les mots de passe n'expirent jamais |
0-illimité 0 == expire maintenant |
|
Exiger la mise à jour initiale du mot de passe lors de la première connexion |
Désactivé |
Activé/Désactivé Modifications autorisées via la console ou SSH |
|
Nombre maximal de tentatives infructueuses |
0, ne pas verrouiller le compte |
- |
|
Durée maximale de verrouillage (en jours) |
La valeur par défaut est 0, ce qui signifie que le compte est verrouillé pendant une journée |
- |
|
Interdire les N derniers mots de passe |
6 |
Le minimum est de 6 |
|
Délai entre les modifications du mot de passe (en jours) |
0 |
- |
|
Délai après chaque tentative de connexion échouée (en secondes) |
4 |
- |
|
Nombre minimum de caractères alphabétiques minuscules requis dans le mot de passe |
0, qui ne nécessite pas de caractères minuscules |
0-64 |
|
Nombre minimum de caractères alphabétiques majuscules requis |
0, qui ne nécessite pas de majuscules |
0-64 |
|
Nombre minimum de chiffres requis dans le mot de passe |
0, qui ne nécessite pas de chiffres |
0-64 |
|
Afficher le message d'avertissement avant l'expiration du mot de passe (en jours) |
Illimité, ce qui signifie ne jamais avertir de l'expiration du mot de passe |
0, ce qui signifie avertir l'utilisateur de l'expiration du mot de passe à chaque connexion réussie |
|
Le compte expire dans N jours |
Illimité, ce qui signifie que les comptes n'expirent jamais |
Le délai d'expiration du compte doit être supérieur à la limite d'inactivité du compte |
|
Durée maximale d'inactivité avant l'expiration du compte (en jours) |
Illimité, ce qui signifie que les comptes inactifs n'expirent jamais |
La limite d'inactivité du compte doit être inférieure à l'heure d'expiration du compte |
cluster1::*> security login role config show -vserver cluster1 -role admin
Vserver: cluster1
Role Name: admin
Minimum Username Length Required: 3
Username Alpha-Numeric: disabled
Minimum Password Length Required: 8
Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
Password Expires In (Days): unlimited
Require Initial Password Update on First Login: disabled
Maximum Number of Failed Attempts: 0
Maximum Lockout Period (Days): 0
Disallow Last 'N' Passwords: 6
Delay Between Password Changes (Days): 0
Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
|
|
À partir de 9.14.1, les mots de passe sont de plus en plus complexes et les règles de verrouillage. Ceci s'applique uniquement aux nouvelles installations de ONTAP. |