Skip to main content
ONTAP Technical Reports
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Parâmetros de login e senha

Colaboradores netapp-dbagwell
PDFs

Uma postura de segurança eficaz adere às políticas organizacionais estabelecidas, diretrizes e qualquer governança ou padrões que se apliquem à organização. Exemplos desses requisitos incluem vida útil do nome de usuário, requisitos de comprimento de senha, requisitos de carateres e o armazenamento de tais contas. A solução ONTAP fornece recursos e funções para lidar com essas construções de segurança.

Novos recursos de conta local

Para oferecer suporte às políticas, diretrizes ou padrões de contas de usuário de uma organização, incluindo governança, a seguinte funcionalidade é suportada no ONTAP:

  • Configurando políticas de senha para impor um número mínimo de dígitos, carateres minúsculos ou carateres maiúsculos

  • Exigindo um atraso após uma tentativa de login com falha

  • Definir o limite inativo da conta

  • A expirar uma conta de utilizador

  • Exibindo uma mensagem de aviso de expiração de senha

  • Notificação de um login inválido

Observação As configurações configuráveis são gerenciadas usando o comando security login role config modify.

Suporte SHA-512

Para melhorar a segurança da senha, o ONTAP 9 suporta a função hash de senha SHA-2 e usa o padrão SHA-512 para hashing de senhas recém-criadas ou alteradas. Os operadores e administradores também podem expirar ou bloquear contas conforme necessário.

As contas de usuário pré-existentes do ONTAP 9 com senhas inalteradas continuam a usar a função hash MD5 após a atualização para o ONTAP 9.0 ou posterior. No entanto, a NetApp recomenda fortemente que essas contas de usuário migrem para a solução SHA-512 mais segura, fazendo com que os usuários alterem suas senhas.

A funcionalidade hash de senha permite executar as seguintes tarefas:

  • Exibir contas de usuário que correspondem à função hash especificada:

    cluster1::*> security login show -user-or-group-name NewAdmin -fields  hash-function
vserver  user-or-group-name application authentication-method hash-function
-------- ------------------ ----------- --------------------- -------------
cluster1 NewAdmin           console     password              sha512
cluster1 NewAdmin           ontapi      password              sha512
cluster1 NewAdmin           ssh         password              sha512

  • As contas expiram que usam uma função hash especificada (por exemplo, MD5), que força os usuários a alterar suas senhas no próximo login:

    cluster1::*> security login expire-password -vserver * -username * -hash-function md5

  • Bloqueie contas com senhas que usam a função hash especificada.

    cluster1::*> security login lock -vserver * -username * -hash-function md5

    A função hash de senha é desconhecida para o usuário interno autosupport no SVM administrativo do cluster. Esta questão é cosmética. A função hash é desconhecida porque este usuário interno não tem uma senha configurada por padrão.

    • Para exibir a função hash de senha para autosupport o usuário, execute os seguintes comandos:

      ::> set advanced
::> security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: unknown
Second Authentication Method2: none

    • Para definir a função hash de senha (padrão: SHA512), execute o seguinte comando:

      ::> security login password -username autosupport

      Não importa para que a senha está definida.

    security login show -user-or-group-name autosupport -instance

                      Vserver: cluster1
      User Name or Group Name: autosupport
                  Application: console
        Authentication Method: password
     Remote Switch IP Address: -
                    Role Name: autosupport
               Account Locked: no
                 Comment Text: -
      Whether Ns-switch Group: no
       Password Hash Function: sha512
Second Authentication Method2: none

Parâmetros da palavra-passe

A solução ONTAP suporta parâmetros de senha que atendem e suportam requisitos e diretrizes de políticas organizacionais.

A partir de 9.14.1, há uma complexidade maior e regras de bloqueio para senhas que se aplicam apenas a novas instalações do ONTAP.

Todas as senhas devem ser distintas do nome de usuário.

Atributo Descrição Padrão Alcance

username-minlength

É necessário um comprimento mínimo do nome de utilizador

3

3-16

username-alphanum

Nome de utilizador alfanumérico

desativado

Ativado/desativado

passwd-minlength

É necessário um comprimento mínimo da palavra-passe

8

3-64

passwd-alphanum

Palavra-passe alfanumérica

ativado

Ativado/desativado

passwd-min-special-chars

Número mínimo de carateres especiais necessários na senha

0

0-64

passwd-expiry-time

Tempo de expiração da senha (em dias)

Ilimitado, o que significa que as senhas nunca expiram

0-ilimitado

0 expiram agora

require-initial-passwd-update

Requer atualização inicial de senha no primeiro login

Desativado

Ativado/desativado

Alterações permitidas através de console ou SSH

max-failed-login-attempts

Número máximo de tentativas falhadas

0, não bloqueie a conta

-

lockout-duration

Período máximo de bloqueio (em dias)

O padrão é 0, o que significa que a conta está bloqueada por um dia

-

disallowed-reuse

Não permitir as últimas palavras-passe N.

6

O mínimo é 6

change-delay

Atraso entre alterações de senha (em dias)

0

-

delay-after-failed-login

Atraso após cada tentativa de início de sessão falhada (em segundos)

4

-

passwd-min-lowercase-chars

Número mínimo de carateres alfabéticos minúsculos necessário na senha

0, que não requer carateres minúsculos

0-64

passwd-min-uppercase-chars

Número mínimo de carateres alfabéticos maiúsculos necessário

0, que não requer carateres maiúsculos

0-64

passwd-min-digits

Número mínimo de dígitos necessário na senha

0, que não requer dígitos

0-64

passwd-expiry-warn-time

Apresentar mensagem de aviso antes da expiração da palavra-passe (em dias)

Ilimitado, o que significa nunca avisar sobre a expiração da senha

0, o que significa avisar o usuário sobre a expiração da senha após cada login bem-sucedido

account-expiry-time

A conta expira em N dias

Ilimitado, o que significa que as contas nunca expiram

O tempo de expiração da conta deve ser maior que o limite inativo da conta

account-inactive-limit

Duração máxima de inatividade antes da expiração da conta (em dias)

Ilimitado, o que significa que as contas inativas nunca expiram

O limite inativo da conta deve ser inferior ao tempo de expiração da conta
Exemplo
cluster1::*> security login role config show -vserver cluster1 -role admin

                                          Vserver: cluster1
                                        Role Name: admin
                 Minimum Username Length Required: 3
                           Username Alpha-Numeric: disabled
                 Minimum Password Length Required: 8
                           Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
                       Password Expires In (Days): unlimited
   Require Initial Password Update on First Login: disabled
                Maximum Number of Failed Attempts: 0
                    Maximum Lockout Period (Days): 0
                      Disallow Last 'N' Passwords: 6
            Delay Between Password Changes (Days): 0
     Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
                        Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited