管理者アカウントのパスワードに SHA-2 を適用します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.0 より前のバージョンで作成した管理者アカウントでは、パスワードが手動で変更されるまで、アップグレード後も引き続き MD5 パスワードが使用されます。MD5 は SHA-2 よりも安全性が低くなります。そのため、アップグレード後は、 MD5 アカウントのユーザに対してパスワードを変更してデフォルトの SHA-512 ハッシュ関数を使用するよう促す必要があります。
パスワードハッシュ機能を使用すると、次の操作を実行できます。
-
指定したハッシュ関数に一致するユーザアカウントを表示する。
-
指定したハッシュ関数( MD5 など)を使用するアカウントを期限切れにして、次回のログイン時にユーザにパスワードの変更を強制します。
-
指定したハッシュ関数を使用するパスワードが指定されたアカウントをロックする。
-
ONTAP 9 より前のリリースにリバートする場合は、クラスタ管理者のパスワードを以前のリリースでサポートされているハッシュ関数( MD5 )と互換性があるパスワードにリセットします。
ONTAPは、NetApp Manageability SDKを使用する場合にのみ、事前にハッシュされたSHA-2パスワードを受け入れます。 (security-login-create
および security-login-modify-password
)。
-
MD5 管理者アカウントを SHA-512 パスワードハッシュ関数に移行します。
-
すべてのMD5管理者アカウントを期限切れにします。
security login expire-password -vserver * -username * -hash-function md5
これにより、 MD5 アカウントのユーザは、次回のログイン時にパスワードの変更が必要になります。
-
MD5 アカウントのユーザに、コンソールまたは SSH セッションを使用してログインするよう依頼します。
アカウントの有効期限が切れていることが検出され、ユーザにパスワードの変更を求めるメッセージが表示されます。変更されたパスワードでは、デフォルトで SHA-512 が使用されます。
-
-
ユーザが一定期間ログインしていないためにパスワードが変更されない MD5 アカウントについては、強制的にアカウントを移行します。
-
まだMD5ハッシュ関数を使用しているアカウントをロックします(advanced権限レベル)。
security login expire-password -vserver * -username * -hash-function md5 -lock-after integer
で指定した日数が経過した後 `-lock-after`ユーザーはMD5アカウントにアクセスできません。
-
ユーザがパスワードを変更する準備ができたら、アカウントのロックを解除します。
security login unlock -vserver svm_name -username user_name
-
ユーザに、コンソールまたは SSH セッションからアカウントにログインし、表示される指示に従ってパスワードを変更するよう促します。
-