Note di rilascio
Applicare SHA-2 sulle password dell'account amministratore
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
Gli account amministratore creati prima di ONTAP 9.0 continuano a utilizzare le password MD5 dopo l'aggiornamento, fino a quando le password non vengono modificate manualmente. MD5 è meno sicuro di SHA-2. Pertanto, dopo l'aggiornamento, è necessario richiedere agli utenti degli account MD5 di modificare le password per utilizzare la funzione hash SHA-512 predefinita.
La funzionalità di hash delle password consente di effettuare le seguenti operazioni:
-
Visualizza gli account utente che corrispondono alla funzione hash specificata.
-
Gli account con scadenza che utilizzano una funzione hash specificata (ad esempio MD5), costringendo gli utenti a modificare le password nel successivo accesso.
-
Bloccare gli account le cui password utilizzano la funzione hash specificata.
-
Quando si torna a una release precedente a ONTAP 9, reimpostare la password dell'amministratore del cluster affinché sia compatibile con la funzione hash (MD5) supportata dalla release precedente.
ONTAP accetta password SHA-2 pre-hash solo utilizzando l'SDK di gestione NetApp (security-login-create e. security-login-modify-password).
-
Migrare gli account amministratore MD5 alla funzione hash della password SHA-512:
-
Scadenza di tutti gli account amministratore MD5:
security login expire-password -vserver * -username * -hash-function md5In questo modo, gli utenti degli account MD5 devono modificare le password al successivo accesso.
-
Chiedere agli utenti degli account MD5 di effettuare l'accesso tramite una console o una sessione SSH.
Il sistema rileva che gli account sono scaduti e richiede agli utenti di modificare le password. SHA-512 viene utilizzato per impostazione predefinita per le password modificate.
-
-
Per gli account MD5 i cui utenti non effettuano l'accesso per modificare le password entro un determinato periodo di tempo, forzare la migrazione dell'account:
-
Bloccare gli account che utilizzano ancora la funzione hash MD5 (livello di privilegio avanzato):
security login expire-password -vserver * -username * -hash-function md5 -lock-after integerDopo il numero di giorni specificato da
-lock-after, Gli utenti non possono accedere ai propri account MD5. -
Sbloccare gli account quando gli utenti sono pronti a modificare le proprie password:
security login unlock -vserver svm_name -username user_name -
Chiedere agli utenti di accedere ai propri account tramite una console o una sessione SSH e modificare le password quando richiesto dal sistema.
-