管理者アカウントパスワードに対するSHA-2の適用
変更を提案
PDF
ONTAP 9 .0より前に作成した管理者アカウントは、パスワードが手動で変更されるまで、アップグレード後も引き続きMD5パスワードを使用します。MD5はSHA-2より安全ではありません。そのため、アップグレード後は、MD5アカウントのユーザにパスワードを変更してデフォルトのSHA-512ハッシュ関数を使用するように指示する必要があります。
パスワードハッシュ機能を使用すると、次の操作を実行できます。
-
指定したハッシュ関数に一致するユーザアカウントを表示します。
-
指定したハッシュ関数(MD5など)を使用するアカウントを期限切れにして、ユーザが次回ログイン時にパスワードを変更するように強制します。
-
指定したハッシュ関数を使用するパスワードが指定されたアカウントをロックする。
-
ONTAP 9よりも前のリリースにリバートする場合は、クラスタ管理者のパスワードを以前のリリースでサポートされているハッシュ関数(MD5)と互換性があるパスワードにリセットします。
ONTAPは、NetApp Manageability SDKおよび `security-login-modify-password`を使用する場合にのみ、事前にハッシュされたSHA-2パスワードを受け入れ(`security-login-create`ます)。
-
MD5管理者アカウントをSHA-512パスワードハッシュ関数に移行します。
-
すべてのMD5管理者アカウントを期限切れにします。
security login expire-password -vserver * -username * -hash-function md5これにより、MD5アカウントユーザは次回ログイン時にパスワードを変更する必要があります。
-
MD5アカウントのユーザに、コンソールまたはSSHセッションを使用してログインするように依頼します。
アカウントの有効期限が切れていることが検出され、ユーザにパスワードの変更を求めるプロンプトが表示されます。変更されたパスワードには、デフォルトでSHA-512が使用されます。
-
-
一定時間内にユーザがログインしてパスワードを変更しないMD5アカウントの場合は、アカウントを強制的に移行します。
-
まだMD5ハッシュ関数を使用しているアカウントをロックします(advanced権限レベル)。
security login expire-password -vserver * -username * -hash-function md5 -lock-after integerで指定した日数が経過する `-lock-after`と、ユーザはMD5アカウントにアクセスできなくなります。
-
ユーザがパスワードを変更する準備ができたら、アカウントのロックを解除します。
security login unlock -vserver svm_name -username user_name -
ユーザに、コンソールまたはSSHセッションからアカウントにログインし、プロンプトが表示されたらパスワードを変更してもらいます。
-