ONTAP管理者アカウントのパスワードにSHA-2を適用する
変更を提案
PDF
ONTAP 9.0より前のバージョンで作成した管理者アカウントでは、パスワードが手動で変更されるまで、アップグレード後も引き続きMD5パスワードが使用されます。MD5はSHA-2よりも安全性が低くなります。そのため、アップグレード後は、MD5アカウントのユーザに対してパスワードを変更してデフォルトのSHA-512ハッシュ関数を使用するよう促す必要があります。
パスワード ハッシュ機能を使用すると次のことが可能です。
-
指定したハッシュ関数に一致するユーザ アカウントを表示する。
-
指定したハッシュ関数(MD5など)を使用するアカウントを期限切れにして、次回ログイン時にユーザにパスワードを変更させる。
-
指定したハッシュ関数を使用するパスワードが指定されたアカウントをロックする。
-
ONTAP 9より前のリリースへリバートする際に、クラスタ管理者のパスワードを以前のリリースでサポートされているハッシュ関数(MD5)と互換性があるパスワードにリセットする。
ONTAPは、NetApp Manageability SDK(`security-login-create`および `security-login-modify-password`を使用した場合にのみ、事前にハッシュされたSHA-2パスワードを受け入れます。
-
MD5管理者アカウントをSHA-512パスワード ハッシュ関数に移行します。
-
すべての MD5 管理者アカウントを期限切れにします:
security login expire-password -vserver * -username * -hash-function md5これにより、MD5アカウントのユーザは、次回のログイン時にパスワードの変更が必要になります。
-
MD5アカウントのユーザに、コンソールまたはSSHセッションを使用してログインするよう促します。
システムによってアカウントの有効期限が切れていることが検出され、ユーザにパスワードの変更を求めるメッセージが表示されます。変更されたパスワードでは、デフォルトでSHA-512が使用されます。
-
-
ユーザが一定期間ログインしていないためにパスワードが変更されていないMD5アカウントについては、強制的にアカウントを移行します。
-
MD5ハッシュ関数をまだ使用しているアカウントをロックします(高度な権限レベル):
security login expire-password -vserver * -username * -hash-function md5 -lock-after integer`-lock-after`で指定された日数が経過すると、ユーザーはMD5アカウントにアクセスできなくなります。
-
ユーザーがパスワードを変更する準備ができたら、アカウントのロックを解除します(:)
security login unlock -vserver svm_name -username user_name -
ユーザに、コンソールまたはSSHセッションからアカウントにログインし、表示される指示に従ってパスワードを変更するよう促します。
-