Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

로그인 및 암호 매개 변수

기여자
PDF

효과적인 보안 체계는 확립된 조직 정책, 지침 및 조직에 적용되는 모든 거버넌스 또는 표준을 준수합니다. 이러한 요구 사항의 예로는 사용자 이름 수명, 암호 길이 요구 사항, 문자 요구 사항 및 이러한 계정의 저장 등이 있습니다. ONTAP 솔루션은 이러한 보안 구조를 처리하는 기능을 제공합니다.

새로운 로컬 계정 기능

거버넌스를 포함하여 조직의 사용자 계정 정책, 지침 또는 표준을 지원하기 위해 ONTAP에서 지원되는 기능은 다음과 같습니다.

  • 최소 숫자, 소문자 또는 대문자를 사용하도록 암호 정책 구성

  • 로그인 시도 실패 후 지연이 필요합니다

  • 계정 비활성 한도 정의

  • 사용자 계정 만료

  • 암호 만료 경고 메시지 표시

  • 잘못된 로그인에 대한 알림입니다

참고 구성 가능한 설정은 보안 로그인 역할 config modify 명령을 사용하여 관리합니다.

SHA-512 지원

암호 보안을 강화하기 위해 ONTAP 9에서는 SHA-2 암호 해시 기능을 지원하며, 새로 생성되거나 변경된 암호를 해시하는 데 기본적으로 SHA-512를 사용합니다. 운영자와 관리자는 필요에 따라 계정을 만료하거나 잠글 수도 있습니다.

암호가 변경되지 않은 기존 ONTAP 9 사용자 계정은 ONTAP 9.0 이상으로 업그레이드한 후에도 MD5 해시 기능을 계속 사용합니다. 그러나 NetApp에서는 사용자가 암호를 변경하도록 하여 이러한 사용자 계정을 보다 안전한 SHA-512 솔루션으로 마이그레이션할 것을 적극 권장합니다.

암호 해시 기능을 사용하면 다음 작업을 수행할 수 있습니다.

  • 지정된 해시 함수와 일치하는 사용자 계정 표시:

    cluster1::*> security login show -user-or-group-name NewAdmin -fields  hash-function
vserver  user-or-group-name application authentication-method hash-function
-------- ------------------ ----------- --------------------- -------------
cluster1 NewAdmin           console     password              sha512
cluster1 NewAdmin           ontapi      password              sha512
cluster1 NewAdmin           ssh         password              sha512

  • 지정된 해시 함수(예: MD5)를 사용하는 계정을 만료시켜 사용자가 다음 로그인 시 암호를 변경해야 합니다.

    cluster1::*> security login expire-password -vserver * -username * -hash-function md5

  • 지정된 해시 함수를 사용하는 암호로 계정을 잠급니다.

    cluster1::*> security login lock -vserver * -username * -hash-function md5

    클러스터의 관리 SVM에서 내부 사용자가 암호 해시 기능을 알 수 없습니다 autosupport . 이 문제는 외관상 문제입니다. 이 내부 사용자에게는 기본적으로 구성된 암호가 없으므로 해시 기능을 알 수 없습니다.

    • 사용자의 암호 해시 기능을 보려면 autosupport 다음 명령을 실행합니다.

      ::> set advanced
::> security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: unknown
Second Authentication Method2: none

    • 암호 해시 기능(기본값: SHA512)을 설정하려면 다음 명령을 실행합니다.

      ::> security login password -username autosupport

      암호가 무엇으로 설정되어 있는지는 중요하지 않습니다.

    security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: sha512
Second Authentication Method2: none

암호 매개 변수

ONTAP 솔루션은 조직 정책 요구 사항 및 지침을 다루고 지원하는 암호 매개 변수를 지원합니다.

속성 설명 기본값 범위

username-minlength

최소 사용자 이름 길이가 필요합니다

3

3-16 을 참조하십시오

username-alphanum

사용자 이름 영숫자

사용 안 함

활성화/비활성화

passwd-minlength

최소 암호 길이가 필요합니다

8

3-64 을 참조하십시오

passwd-alphanum

암호 영숫자

활성화됨

활성화/비활성화

passwd-min-special-chars

암호에 필요한 최소 특수 문자 수입니다

0

0-64 을 참조하십시오

passwd-expiry-time

암호 만료 시간(일)

무제한 - 암호가 만료되지 않습니다

0 - 무제한

0 = 지금 만료

require-initial-passwd-update

첫 번째 로그인 시 초기 암호 업데이트가 필요합니다

사용 안 함

활성화/비활성화

콘솔 또는 SSH를 통해 변경이 허용됩니다

max-failed-login-attempts

최대 시도 실패 횟수입니다

0, 계정을 잠그지 마십시오

-

lockout-duration

최대 잠금 기간(일)

기본값은 0입니다. 즉, 계정이 하루 동안 잠겨 있습니다

-

disallowed-reuse

마지막 N 암호를 허용하지 않습니다

6

최소값은 6입니다

change-delay

암호 변경 간격(일)

0

-

delay-after-failed-login

로그인 시도 실패 후 지연(초)

4

-

passwd-min-lowercase-chars

암호에 필요한 최소 소문자 알파벳 문자 수입니다

0으로, 소문자가 필요하지 않습니다

0-64 을 참조하십시오

passwd-min-uppercase-chars

알파벳 대문자 최소 개수여야 합니다

0 - 대문자가 필요하지 않습니다

0-64 을 참조하십시오

passwd-min-digits

암호에 필요한 최소 자릿수입니다

0으로, 숫자가 필요하지 않습니다

0-64 을 참조하십시오

passwd-expiry-warn-time

암호 만료 전에 경고 메시지 표시(일)

Unlimited(무제한) - 암호 만료에 대해 경고하지 않습니다

0: 로그인할 때마다 암호 만료에 대해 사용자에게 경고합니다

account-expiry-time

계정이 N일 후에 만료됩니다

무제한. 즉, 계정이 만료되지 않습니다

계정 만료 시간은 계정 비활성 제한보다 커야 합니다

account-inactive-limit

계정 만료 전 최대 비활성 기간(일)

무제한 - 비활성 계정은 만료되지 않습니다

계정 비활성 한도는 계정 만료 시간보다 작아야 합니다

 
cluster1::*> security login role config show -vserver cluster1 -role admin

                                          Vserver: cluster1
                                        Role Name: admin
                 Minimum Username Length Required: 3
                           Username Alpha-Numeric: disabled
                 Minimum Password Length Required: 8
                           Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
                       Password Expires In (Days): unlimited
   Require Initial Password Update on First Login: disabled
                Maximum Number of Failed Attempts: 0
                    Maximum Lockout Period (Days): 0
                      Disallow Last 'N' Passwords: 6
            Delay Between Password Changes (Days): 0
     Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
                        Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
참고 9.14.1부터는 암호에 대한 복잡성과 잠금 규칙이 증가합니다. 이는 ONTAP의 신규 설치에만 적용됩니다.