Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Paramètres de connexion et de mot de passe

Contributeurs
PDF

Une stratégie de sécurité efficace est conforme aux politiques, aux directives et à toute gouvernance ou norme établies de l'entreprise. La durée de vie du nom d'utilisateur, les exigences de longueur du mot de passe, les exigences en termes de caractères et le stockage de ces comptes sont des exemples de ces exigences. La solution ONTAP offre des fonctionnalités pour traiter ces constructions de sécurité.

Nouvelles fonctionnalités de compte local

Pour prendre en charge les stratégies, directives ou normes de compte utilisateur d'une entreprise, notamment la gouvernance, les fonctionnalités suivantes sont prises en charge dans ONTAP :

  • Configuration des stratégies de mot de passe pour appliquer un nombre minimum de chiffres, de minuscules ou de majuscules

  • Délai nécessaire après un échec de la tentative de connexion

  • Définition de la limite d'inactivité du compte

  • Expiration d'un compte utilisateur

  • Affichage d'un message d'avertissement d'expiration de mot de passe

  • Notification d'une connexion non valide

Remarque Les paramètres configurables sont gérés à l'aide de la commande Security login role config modify.

Prise en charge de SHA-512

Pour améliorer la sécurité des mots de passe, ONTAP 9 prend en charge la fonction de hachage SHA-2 et utilise par défaut la fonction SHA-512 pour hacher les nouveaux mots de passe ou les mots de passe modifiés. Les opérateurs et les administrateurs peuvent également expirer ou verrouiller les comptes selon les besoins.

Les comptes utilisateur ONTAP 9 préexistants avec des mots de passe inchangés continuent d'utiliser la fonction de hachage MD5 après la mise à niveau vers ONTAP 9.0 ou version ultérieure. Cependant, NetApp recommande vivement de migrer ces comptes utilisateur vers la solution SHA-512 plus sécurisée en demandant aux utilisateurs de modifier leur mot de passe.

La fonctionnalité de hachage de mot de passe vous permet d'effectuer les tâches suivantes :

  • Afficher les comptes utilisateur correspondant à la fonction de hachage spécifiée :

    cluster1::*> security login show -user-or-group-name NewAdmin -fields  hash-function
vserver  user-or-group-name application authentication-method hash-function
-------- ------------------ ----------- --------------------- -------------
cluster1 NewAdmin           console     password              sha512
cluster1 NewAdmin           ontapi      password              sha512
cluster1 NewAdmin           ssh         password              sha512

  • Comptes expirés utilisant une fonction de hachage spécifiée (MD5, par exemple), qui oblige les utilisateurs à modifier leur mot de passe lors de la connexion suivante :

    cluster1::*> security login expire-password -vserver * -username * -hash-function md5

  • Verrouiller les comptes avec des mots de passe utilisant la fonction de hachage spécifiée.

    cluster1::*> security login lock -vserver * -username * -hash-function md5

    La fonction de hachage password est inconnue pour l'utilisateur interne autosupport du SVM d'administration de votre cluster. Ce problème est cosmétique. La fonction de hachage est inconnue car cet utilisateur interne ne dispose pas d'un mot de passe configuré par défaut.

    • Pour afficher la fonction de hachage du mot de passe de l' autosupport utilisateur, exécutez les commandes suivantes :

      ::> set advanced
::> security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: unknown
Second Authentication Method2: none

    • Pour définir la fonction de hachage du mot de passe (par défaut : sha512), exécutez la commande suivante :

      ::> security login password -username autosupport

      La définition du mot de passe n'a pas d'importance.

    security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: sha512
Second Authentication Method2: none

Paramètres de mot de passe

La solution ONTAP prend en charge les paramètres de mot de passe qui répondent aux exigences et directives de l'entreprise et qui les prennent en charge.

Attribut Description Valeur par défaut Gamme

username-minlength

Longueur minimale du nom d'utilisateur requise

3

3-16

username-alphanum

Nom d'utilisateur alphanumérique

désactivé

Activé/Désactivé

passwd-minlength

Longueur minimale du mot de passe requise

8

3-64

passwd-alphanum

Mot de passe alphanumérique

activé

Activé/Désactivé

passwd-min-special-chars

Nombre minimum de caractères spéciaux requis dans le mot de passe

0

0-64

passwd-expiry-time

Heure d'expiration du mot de passe (en jours)

Illimité, ce qui signifie que les mots de passe n'expirent jamais

0-illimité

0 == expire maintenant

require-initial-passwd-update

Exiger la mise à jour initiale du mot de passe lors de la première connexion

Désactivé

Activé/Désactivé

Modifications autorisées via la console ou SSH

max-failed-login-attempts

Nombre maximal de tentatives infructueuses

0, ne pas verrouiller le compte

-

lockout-duration

Durée maximale de verrouillage (en jours)

La valeur par défaut est 0, ce qui signifie que le compte est verrouillé pendant une journée

-

disallowed-reuse

Interdire les N derniers mots de passe

6

Le minimum est de 6

change-delay

Délai entre les modifications du mot de passe (en jours)

0

-

delay-after-failed-login

Délai après chaque tentative de connexion échouée (en secondes)

4

-

passwd-min-lowercase-chars

Nombre minimum de caractères alphabétiques minuscules requis dans le mot de passe

0, qui ne nécessite pas de caractères minuscules

0-64

passwd-min-uppercase-chars

Nombre minimum de caractères alphabétiques majuscules requis

0, qui ne nécessite pas de majuscules

0-64

passwd-min-digits

Nombre minimum de chiffres requis dans le mot de passe

0, qui ne nécessite pas de chiffres

0-64

passwd-expiry-warn-time

Afficher le message d'avertissement avant l'expiration du mot de passe (en jours)

Illimité, ce qui signifie ne jamais avertir de l'expiration du mot de passe

0, ce qui signifie avertir l'utilisateur de l'expiration du mot de passe à chaque connexion réussie

account-expiry-time

Le compte expire dans N jours

Illimité, ce qui signifie que les comptes n'expirent jamais

Le délai d'expiration du compte doit être supérieur à la limite d'inactivité du compte

account-inactive-limit

Durée maximale d'inactivité avant l'expiration du compte (en jours)

Illimité, ce qui signifie que les comptes inactifs n'expirent jamais

La limite d'inactivité du compte doit être inférieure à l'heure d'expiration du compte
Exemple
cluster1::*> security login role config show -vserver cluster1 -role admin

                                          Vserver: cluster1
                                        Role Name: admin
                 Minimum Username Length Required: 3
                           Username Alpha-Numeric: disabled
                 Minimum Password Length Required: 8
                           Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
                       Password Expires In (Days): unlimited
   Require Initial Password Update on First Login: disabled
                Maximum Number of Failed Attempts: 0
                    Maximum Lockout Period (Days): 0
                      Disallow Last 'N' Passwords: 6
            Delay Between Password Changes (Days): 0
     Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
                        Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
Remarque À partir de 9.14.1, les mots de passe sont de plus en plus complexes et les règles de verrouillage. Ceci s'applique uniquement aux nouvelles installations de ONTAP.