Aplicar SHA-2 em senhas de conta de administrador
As contas de administrador criadas antes do ONTAP 9.0 continuam a usar senhas MD5 após a atualização, até que as senhas sejam alteradas manualmente. O MD5 é menos seguro do que o SHA-2. Portanto, após a atualização, você deve solicitar aos usuários de contas MD5 que alterem suas senhas para usar a função hash SHA-512 padrão.
A funcionalidade hash de senha permite que você faça o seguinte:
-
Exibir contas de usuário que correspondem à função hash especificada.
-
Expire contas que usam uma função hash especificada (por exemplo, MD5), forçando os usuários a alterar suas senhas em seu próximo login.
-
Bloquear contas cujas senhas usam a função hash especificada.
-
Ao reverter para uma versão anterior ao ONTAP 9, redefina a própria senha do administrador do cluster para que ela seja compatível com a função hash (MD5) que é suportada pela versão anterior.
O ONTAP aceita senhas SHA-2 pré-hash somente usando o SDK de gerenciamento do NetApp (`security-login-create`e `security-login-modify-password`o ).
-
Migre as contas de administrador do MD5 para a função hash de senha SHA-512:
-
Expire todas as contas de administrador do MD5:
security login expire-password -vserver * -username * -hash-function md5
Isso força os usuários de conta do MD5 a alterar suas senhas no próximo login.
-
Peça aos usuários de contas do MD5 para fazer login por meio de um console ou sessão SSH.
O sistema deteta que as contas estão expiradas e solicita aos usuários que alterem suas senhas. Sha-512 é usado por padrão para as senhas alteradas.
-
-
Para contas do MD5 cujos usuários não fazem login para alterar suas senhas dentro de um período de tempo, force a migração da conta:
-
Bloquear contas que ainda usam a função hash MD5 (nível de privilégio avançado):
security login expire-password -vserver * -username * -hash-function md5 -lock-after integer
Após o número de dias especificado pelo
-lock-after
, os usuários não podem acessar suas contas do MD5. -
Desbloqueie as contas quando os usuários estiverem prontos para alterar suas senhas:
security login unlock -vserver svm_name -username user_name
-
Faça com que os usuários façam login em suas contas por meio de uma sessão de console ou SSH e alterem suas senhas quando o sistema solicitar que façam isso.
-