Parametri di accesso e password
-
PDF del sito di questa documentazione
- Configurare, aggiornare e ripristinare ONTAP
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
Una posizione di sicurezza efficace rispetta le policy, le linee guida e qualsiasi governance o standard dell'organizzazione stabiliti. Esempi di questi requisiti includono la durata del nome utente, i requisiti di lunghezza della password, i requisiti dei caratteri e la memorizzazione di tali account. La soluzione ONTAP fornisce funzionalità e caratteristiche per affrontare questi costrutti di protezione.
Nuove funzioni dell'account locale
Per supportare i criteri, le linee guida o gli standard degli account utente di un'organizzazione, inclusa la governance, in ONTAP sono supportate le seguenti funzionalità:
-
Configurazione dei criteri delle password per applicare un numero minimo di cifre, caratteri minuscoli o caratteri maiuscoli
-
Richiede un ritardo dopo un tentativo di accesso non riuscito
-
Definizione del limite di inattività dell'account
-
Scadenza di un account utente
-
Visualizzazione di un messaggio di avviso di scadenza della password
-
Notifica di un accesso non valido
Le impostazioni configurabili vengono gestite utilizzando il comando di modifica della configurazione del ruolo di accesso di sicurezza. |
Supporto SHA-512
Per migliorare la sicurezza delle password, ONTAP 9 supporta la funzione hash password SHA-2 e imposta il valore predefinito per l'utilizzo di SHA-512 per l'hashing di password appena create o modificate. Gli operatori e gli amministratori possono anche scadere o bloccare gli account in base alle necessità.
Gli account utente ONTAP 9 preesistenti con password non modificate continuano a utilizzare la funzione hash MD5 dopo l'aggiornamento a ONTAP 9,0 o versione successiva. Tuttavia, NetApp consiglia vivamente che questi account utente migrino alla soluzione SHA-512 più sicura, facendo in modo che gli utenti modifichino le proprie password.
La funzionalità hash password consente di eseguire le seguenti operazioni:
-
Visualizza gli account utente che corrispondono alla funzione hash specificata:
cluster1::*> security login show -user-or-group-name NewAdmin -fields hash-function vserver user-or-group-name application authentication-method hash-function -------- ------------------ ----------- --------------------- ------------- cluster1 NewAdmin console password sha512 cluster1 NewAdmin ontapi password sha512 cluster1 NewAdmin ssh password sha512
-
Scade gli account che utilizzano una funzione hash specificata (ad esempio, MD5), che obbliga gli utenti a modificare le proprie password al successivo accesso:
cluster1::*> security login expire-password -vserver * -username * -hash-function md5
-
Bloccare gli account con password che utilizzano la funzione hash specificata.
cluster1::*> security login lock -vserver * -username * -hash-function md5
La funzione hash password non è nota per l'utente interno
autosupport
nella SVM amministrativa del cluster. Questo problema è superficiale. La funzione hash è sconosciuta perché l'utente interno non dispone di una password configurata per impostazione predefinita.-
Per visualizzare la funzione hash password per l'
autosupport
utente, eseguire i seguenti comandi:::> set advanced ::> security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: unknown Second Authentication Method2: none
-
Per impostare la funzione hash password (default: SHA512), eseguire il seguente comando:
::> security login password -username autosupport
Non importa a quale password è impostata.
security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: sha512 Second Authentication Method2: none
-
Parametri password
La soluzione ONTAP supporta i parametri delle password che soddisfano e supportano i requisiti e le linee guida dei criteri organizzativi.
Attributo | Descrizione | Predefinito | Raggio d'azione |
---|---|---|---|
|
Lunghezza minima del nome utente richiesta |
3 |
3-16 |
|
Nome utente alfanumerico |
disattivato |
Attivato/disattivato |
|
Lunghezza minima della password richiesta |
8 |
3-64 |
|
Password alfanumerica |
attivato |
Attivato/disattivato |
|
Numero minimo di caratteri speciali richiesti nella password |
0 |
0-64 |
|
Ora di scadenza della password (in giorni) |
Illimitato, il che significa che le password non scadono mai |
0-illimitato 0 == scade ora |
|
Richiedi l'aggiornamento iniziale della password al primo accesso |
Disattivato |
Attivato/disattivato Modifiche consentite tramite console o SSH |
|
Numero massimo di tentativi non riusciti |
0, non bloccare l'account |
- |
|
Periodo di blocco massimo (in giorni) |
L'impostazione predefinita è 0, ovvero l'account è bloccato per un giorno |
- |
|
Non consentire le ultime N password |
6 |
Il valore minimo è 6 |
|
Ritardo tra le modifiche della password (in giorni) |
0 |
- |
|
Ritardo dopo ogni tentativo di accesso non riuscito (in secondi) |
4 |
- |
|
Numero minimo di caratteri alfabetici minuscoli richiesti nella password |
0, che non richiede caratteri minuscoli |
0-64 |
|
È richiesto un numero minimo di caratteri alfabetici maiuscoli |
0, che non richiede caratteri maiuscoli |
0-64 |
|
Numero minimo di cifre richiesto nella password |
0, che non richiede cifre |
0-64 |
|
Visualizza messaggio di avviso prima della scadenza della password (in giorni) |
Illimitato, il che significa non avvisare mai della scadenza della password |
0, che significa avvisare l'utente circa la scadenza della password ad ogni accesso riuscito |
|
L'account scade tra N giorni |
Illimitato, il che significa che i conti non scadono mai |
Il tempo di scadenza dell'account deve essere maggiore del limite di inattività dell'account |
|
Durata massima di inattività prima della scadenza dell'account (in giorni) |
Illimitato, il che significa che gli account inattivi non scadono mai |
Il limite di inattività dell'account deve essere inferiore al tempo di scadenza dell'account |
cluster1::*> security login role config show -vserver cluster1 -role admin Vserver: cluster1 Role Name: admin Minimum Username Length Required: 3 Username Alpha-Numeric: disabled Minimum Password Length Required: 8 Password Alpha-Numeric: enabled Minimum Number of Special Characters Required in the Password: 0 Password Expires In (Days): unlimited Require Initial Password Update on First Login: disabled Maximum Number of Failed Attempts: 0 Maximum Lockout Period (Days): 0 Disallow Last 'N' Passwords: 6 Delay Between Password Changes (Days): 0 Delay after Each Failed Login Attempt (Secs): 4 Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0 Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0 Minimum Number of Digits Required in the Password: 0 Display Warning Message Days Prior to Password Expiry (Days): unlimited Account Expires in (Days): unlimited Maximum Duration of Inactivity before Account Expiration (Days): unlimited
A partire dal 9.14.1, le password sono caratterizzate da una maggiore complessità e da regole di blocco. Questo vale solo per le nuove installazioni di ONTAP. |