Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Aplicar SHA-2 em senhas de conta de administrador

Colaboradores

As contas de administrador criadas antes do ONTAP 9.0 continuam a usar senhas MD5 após a atualização, até que as senhas sejam alteradas manualmente. O MD5 é menos seguro do que o SHA-2. Portanto, após a atualização, você deve solicitar aos usuários de contas MD5 que alterem suas senhas para usar a função hash SHA-512 padrão.

Sobre esta tarefa

A funcionalidade hash de senha permite que você faça o seguinte:

  • Exibir contas de usuário que correspondem à função hash especificada.

  • Expire contas que usam uma função hash especificada (por exemplo, MD5), forçando os usuários a alterar suas senhas em seu próximo login.

  • Bloquear contas cujas senhas usam a função hash especificada.

  • Ao reverter para uma versão anterior ao ONTAP 9, redefina a própria senha do administrador do cluster para que ela seja compatível com a função hash (MD5) que é suportada pela versão anterior.

O ONTAP aceita senhas SHA-2 pré-hash somente usando o SDK de gerenciamento do NetApp (`security-login-create`e `security-login-modify-password`o ).

Passos
  1. Migre as contas de administrador do MD5 para a função hash de senha SHA-512:

    1. Expire todas as contas de administrador do MD5: security login expire-password -vserver * -username * -hash-function md5

      Isso força os usuários de conta do MD5 a alterar suas senhas no próximo login.

    2. Peça aos usuários de contas do MD5 para fazer login por meio de um console ou sessão SSH.

      O sistema deteta que as contas estão expiradas e solicita aos usuários que alterem suas senhas. Sha-512 é usado por padrão para as senhas alteradas.

  2. Para contas do MD5 cujos usuários não fazem login para alterar suas senhas dentro de um período de tempo, force a migração da conta:

    1. Bloquear contas que ainda usam a função hash MD5 (nível de privilégio avançado): security login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      Após o número de dias especificado pelo -lock-after, os usuários não podem acessar suas contas do MD5.

    2. Desbloqueie as contas quando os usuários estiverem prontos para alterar suas senhas: security login unlock -vserver svm_name -username user_name

    3. Faça com que os usuários façam login em suas contas por meio de uma sessão de console ou SSH e alterem suas senhas quando o sistema solicitar que façam isso.