对管理员帐户密码强制执行 SHA-2

升级后,在 ONTAP 9.0 之前创建的管理员帐户继续使用 MD5 密码,直到手动更改密码为止。MD5 的安全性低于 SHA-2。因此,升级后,您应该提示 MD5 帐户的用户更改其密码,以使用默认的 SHA-512 哈希函数。

关于本任务

密码哈希功能可以:

只有通过 NetApp 易管理性 SDK (security-login-create 和 security-login-modify-password),ONTAP 才可接受哈希前的 SHA-2 密码。

易管理性增强功能

步骤

  1. 将 MD5 管理员帐户迁移到 SHA-512 密码哈希函数:
    1. 使所有 MD5 管理员帐户过期:security login expire-password -vserver * -username * -hash-function md5
      这样做可强制 MD5 帐户用户在下次登录时更改密码。
    2. 要求 MD5 帐户的用户通过控制台或 SSH 会话登录。
      系统会检测到已过期的帐户并提示用户更改密码。默认情况下,SHA-512 用于经过更改的密码。
  2. 可选: 如果 MD5 帐户的用户在一段时间内未登录更改密码,则强制执行帐户迁移:
    1. 锁定仍然使用 MD5 哈希函数的帐户(高级权限级别):security login expire-password -vserver * -username * -hash-function md5 -lock-after integer
      锁定后指定的天数后、用户无法访问其 MD5 帐户。
    2. 当用户准备好更改密码时解锁帐户:security login unlock -vserver vserver_name -username user_name
    3. 让用户通过控制台或 SSH 会话登录帐户,并在系统提示时更改密码。