日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

管理者アカウントパスワードでの SHA-2 の適用

寄稿者 このページの PDF をダウンロード

ONTAP 9.0 より前のバージョンで作成した管理者アカウントでは、パスワードが手動で変更されるまで、アップグレード後も引き続き MD5 パスワードが使用されます。MD5 は SHA-2 よりも安全性が低くなります。そのため、アップグレード後は、 MD5 アカウントのユーザに対してパスワードを変更してデフォルトの SHA-512 ハッシュ関数を使用するよう促す必要があります。

パスワードハッシュ機能を使用すると、次の操作を実行できます。

  • 指定したハッシュ関数に一致するユーザアカウントを表示する。

  • 指定したハッシュ関数( MD5 など)を使用するアカウントを期限切れにして、次回のログイン時にユーザにパスワードの変更を強制します。

  • 指定したハッシュ関数を使用するパスワードが指定されたアカウントをロックする。

  • ONTAP 9 より前のリリースにリバートする場合は、クラスタ管理者のパスワードを以前のリリースでサポートされているハッシュ関数( MD5 )と互換性があるパスワードにリセットします。

ONTAP では、 NetApp Manageability SDK ( security-login-create および security-login-modify-password )を使用して、あらかじめハッシュ化した SHA-2 パスワードだけを受け入れます。

  1. MD5 管理者アカウントを SHA-512 パスワードハッシュ関数に移行します。

    1. すべての MD5 管理者アカウントを期限切れにします。「 securitylogin expire-password -vserver * -username * -hash-function md5 」

      これにより、 MD5 アカウントのユーザは、次回のログイン時にパスワードの変更が必要になります。

    2. MD5 アカウントのユーザに、コンソールまたは SSH セッションを使用してログインするよう依頼します。

      アカウントの有効期限が切れていることが検出され、ユーザにパスワードの変更を求めるメッセージが表示されます。変更されたパスワードでは、デフォルトで SHA-512 が使用されます。

  2. ユーザが一定期間ログインしていないためにパスワードが変更されない MD5 アカウントについては、強制的にアカウントを移行します。

    1. まだ MD5 ハッシュ関数を使用しているアカウントをロックします( advanced 権限レベル)。 security login expire-password -vserver * -username * -hash-function md5 -lock-after integer ’

      lock-after で指定した日数が経過すると、ユーザは MD5 アカウントにアクセスできなくなります。

    2. ユーザがパスワードを変更できる状態になったら、アカウントのロックを解除します。 security login unlock -vserver vserver_name -username user_name

    3. ユーザに、コンソールまたは SSH セッションからアカウントにログインし、表示される指示に従ってパスワードを変更するよう促します。