Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ログインとパスワードのパラメータ

共同作成者
PDF

セキュリティ体制は、組織が規定したポリシーやガイドライン、および組織に適用されるガバナンスや標準に準拠していなければ効果的とはいえません。例としては、ユーザ名の有効期間、パスワードの長さ、使用できる文字、アカウントの保存などの要件があります。ONTAPソリューションには、これらのセキュリティ要素に対応する機能が用意されています。

新しいローカルアカウント機能

組織のユーザーアカウントポリシー、ガイドライン、またはガバナンスを含む標準をサポートするために、ONTAPでは次の機能がサポートされています。

  • パスワード ポリシーを設定して最小文字数や大文字小文字の条件を適用する

  • ログインに失敗したあとに遅延させる

  • アカウントがアクティブでない状態を維持できる最大期間を定義する

  • ユーザ アカウントを期限切れにする

  • パスワード失効の警告メッセージを表示する

  • 無効なログインを通知する

メモ 設定可能な設定は、security login role config modifyコマンドを使用して管理します。

SHA-512のサポート

パスワードのセキュリティを強化するために、ONTAP 9ではSHA-2パスワード ハッシュ関数をサポートしており、新規作成または変更されたパスワードのハッシュ化にSHA-512をデフォルトで使用します。必要に応じて、オペレータや管理者がアカウントを期限切れにしたり、ロックしたりすることもできます。

パスワードが変更されていない既存のONTAP 9ユーザアカウントでは、ONTAP 9.0以降へのアップグレード後も引き続きMD5ハッシュ関数が使用されます。ただし、NetAppでは、これらのユーザアカウントをより安全なSHA-512ソリューションに移行し、ユーザにパスワードを変更させることを強く推奨しています。

パスワード ハッシュ機能を使用して、次の作業を実行できます。

  • 指定したハッシュ関数に一致するユーザアカウントを表示します。

    cluster1::*> security login show -user-or-group-name NewAdmin -fields  hash-function
vserver  user-or-group-name application authentication-method hash-function
-------- ------------------ ----------- --------------------- -------------
cluster1 NewAdmin           console     password              sha512
cluster1 NewAdmin           ontapi      password              sha512
cluster1 NewAdmin           ssh         password              sha512

  • 指定したハッシュ関数(MD5など)を使用するアカウントを期限切れにします。これにより、ユーザは次回のログイン時にパスワードを変更する必要があります。

    cluster1::*> security login expire-password -vserver * -username * -hash-function md5

  • 指定したハッシュ関数を使用するパスワードでアカウントをロックします。

    cluster1::*> security login lock -vserver * -username * -hash-function md5

    クラスタの管理SVMにある内部ユーザのパスワードハッシュ関数が不明 autosupport です。これは問題のない問題です。この内部ユーザにはデフォルトでパスワードが設定されていないため、ハッシュ関数は不明です。

    • ユーザのパスワードハッシュ関数を表示するには autosupport 、次のコマンドを実行します。

      ::> set advanced
::> security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: unknown
Second Authentication Method2: none

    • パスワードハッシュ関数(デフォルト:SHA512)を設定するには、次のコマンドを実行します。

      ::> security login password -username autosupport

      パスワードが何に設定されているかは関係ありません。

    security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: sha512
Second Authentication Method2: none

パスワードパラメータ

ONTAPでは、組織のポリシーやガイドラインに対応するパスワード パラメータをサポートしています。

属性 説明 デフォルト 範囲

username-minlength

ユーザ名の最小文字数

3.

3-16

username-alphanum

ユーザ名のアルファベットと数字の混在

無効

enabled / disabled

passwd-minlength

パスワードの最大文字数

8

3-64

passwd-alphanum

パスワードのアルファベットと数字の混在

有効

enabled / disabled

passwd-min-special-chars

パスワードに必要な特殊文字の最小数

0

0 ~ 64

passwd-expiry-time

パスワードの有効期限(日数)

unlimited(パスワードは失効しない)

0 -無制限

0 == 直ちに失効

require-initial-passwd-update

初回ログイン時に初期パスワードの更新が必要

無効

enabled / disabled

コンソールまたはSSHから変更可能

max-failed-login-attempts

最大失敗回数

0(アカウントをロックしない)

-

lockout-duration

最大ロックアウト期間(日数)

0(アカウントをその日だけロックする)

-

disallowed-reuse

直近のN個のパスワードを許可しない

6.

6以上

change-delay

次回のパスワード変更までに必要な間隔(日数)

0

-

delay-after-failed-login

失敗したログイン後の再試行間隔(秒数)

4.

-

passwd-min-lowercase-chars

パスワードに必要な小文字の最小数

0(小文字は不要)

0 ~ 64

passwd-min-uppercase-chars

パスワードに必要な大文字の最小数

0(大文字は不要)

0 ~ 64

passwd-min-digits

パスワードに必要な数字の最小数

0(数字は不要)

0 ~ 64

passwd-expiry-warn-time

パスワードの失効何日前に警告を表示するか(日数)

unlimited(パスワードの失効について警告しない)

0(ログインのたびにパスワードの失効について警告)

account-expiry-time

N日後にアカウントの有効期限が切れます

unlimited(アカウントは失効しない)

アクティブでないアカウントが失効となるまでの期間よりも長くする必要がある

account-inactive-limit

アクティブでないアカウントが失効となるまでの期間(日数)

unlimited(アクティブでないアカウントは失効しない)

アカウントの有効期間よりも短くする必要がある

 
cluster1::*> security login role config show -vserver cluster1 -role admin

                                          Vserver: cluster1
                                        Role Name: admin
                 Minimum Username Length Required: 3
                           Username Alpha-Numeric: disabled
                 Minimum Password Length Required: 8
                           Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
                       Password Expires In (Days): unlimited
   Require Initial Password Update on First Login: disabled
                Maximum Number of Failed Attempts: 0
                    Maximum Lockout Period (Days): 0
                      Disallow Last 'N' Passwords: 6
            Delay Between Password Changes (Days): 0
     Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
                        Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
メモ 9.14.1以降では、パスワードの複雑さが増し、ロックアウトルールが追加されました。これは、ONTAPの新規インストールにのみ適用されます。