对管理员帐户密码强制执行 SHA-2
建议更改
PDF
升级后,在 ONTAP 9.0 之前创建的管理员帐户将继续使用 MD5 密码,直到手动更改密码为止。MD5 的安全性低于 SHA-2 。因此,升级后,您应提示 MD5 帐户的用户更改密码,以使用默认的 SHA-512 哈希函数。
密码哈希功能可用于执行以下操作:
-
显示与指定哈希函数匹配的用户帐户。
-
使使用指定哈希函数(例如 MD5 )的帐户过期,从而强制用户在下次登录时更改密码。
-
锁定密码使用指定哈希函数的帐户。
-
还原到 ONTAP 9 之前的版本时,请重置集群管理员自己的密码,以使其与早期版本支持的哈希函数( MD5 )兼容。
ONTAP只能使用NetApp易管理性SDK接受哈希前的SHA-2密码 (security-login-create 和 security-login-modify-password)。
-
将 MD5 管理员帐户迁移到 SHA-512 密码哈希函数:
-
使所有MD5管理员帐户过期:
security login expire-password -vserver * -username * -hash-function md5这样做会强制 MD5 帐户用户在下次登录时更改密码。
-
要求 MD5 帐户的用户通过控制台或 SSH 会话登录。
系统会检测到帐户已过期,并提示用户更改密码。默认情况下, SHA-512 用于更改的密码。
-
-
对于用户在一段时间内未登录更改密码的 MD5 帐户,强制迁移帐户:
-
锁定仍使用MD5哈希函数的帐户(高级权限级别):
security login expire-password -vserver * -username * -hash-function md5 -lock-after integer在指定的天数之后
-lock-after,则用户无法访问其MD5帐户。 -
当用户准备好更改密码时解锁帐户:
security login unlock -vserver svm_name -username user_name -
让用户通过控制台或 SSH 会话登录到其帐户,并在系统提示时更改密码。
-