관리자 계정 암호에 SHA-2를 적용합니다
변경 제안
PDF
ONTAP 9.0 이전에 만든 관리자 계정은 암호를 수동으로 변경할 때까지 업그레이드 후 MD5 암호를 계속 사용합니다. MD5는 SHA-2보다 안전하지 않습니다. 따라서 업그레이드 후 MD5 계정 사용자에게 암호를 변경하여 기본 SHA-512 해시 기능을 사용하도록 해야 합니다.
암호 해시 기능을 사용하면 다음을 수행할 수 있습니다.
-
지정된 해시 함수와 일치하는 사용자 계정을 표시합니다.
-
지정된 해시 기능(예: MD5)을 사용하는 계정을 만료하여 사용자가 다음 로그인 시 암호를 변경하도록 합니다.
-
암호가 지정된 해시 기능을 사용하는 계정을 잠급니다.
-
ONTAP 9 이전 릴리즈로 되돌릴 때 이전 릴리즈에서 지원하는 MD5(해시 기능)와 호환되도록 클러스터 관리자의 자체 암호를 재설정합니다.
ONTAP는 NetApp Manageability SDK를 사용하여 해시된 SHA-2 암호만 허용합니다 (security-login-create 및 security-login-modify-password)를 클릭합니다.
-
MD5 관리자 계정을 SHA-512 암호 해시 기능으로 마이그레이션합니다.
-
MD5 관리자 계정 모두 만료: '보안 로그인 만료 - 암호 - vserver* - 사용자 이름* - 해시 - 기능 MD5'
이렇게 하면 MD5 계정 사용자는 다음 로그인 시 암호를 변경해야 합니다.
-
MD5 계정 사용자에게 콘솔 또는 SSH 세션을 통해 로그인하도록 요청합니다.
계정이 만료되었음을 감지하고 사용자에게 암호를 변경하라는 메시지를 표시합니다. SHA-512는 변경된 암호에 기본적으로 사용됩니다.
-
-
사용자가 로그인하지 않은 MD5 계정의 경우 일정 시간 내에 암호를 변경하려면 다음과 같이 계정 마이그레이션을 강제로 수행합니다.
-
MD5 해시 기능(고급 권한 수준)을 계속 사용하는 계정 잠금: '보안 로그인 만료 - 암호 - vserver* - 사용자 이름 * - 해시 - 기능 md5 - 정수 후 잠금
록애프터(lock-After)로 지정된 일 수가 지나면 MD5 계정에 액세스할 수 없습니다.
-
사용자가 암호를 변경할 준비가 되면 계정의 잠금을 해제합니다.
security login unlock -vserver svm_name -username user_name -
사용자가 콘솔 또는 SSH 세션을 통해 계정에 로그인하고 시스템에서 암호를 변경하도록 요청하는 경우 암호를 변경하도록 요청합니다.
-