Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

对管理员帐户密码强制执行 SHA-2

贡献者

升级后,在 ONTAP 9.0 之前创建的管理员帐户将继续使用 MD5 密码,直到手动更改密码为止。MD5 的安全性低于 SHA-2 。因此,升级后,您应提示 MD5 帐户的用户更改密码,以使用默认的 SHA-512 哈希函数。

关于此任务

密码哈希功能可用于执行以下操作:

  • 显示与指定哈希函数匹配的用户帐户。

  • 使使用指定哈希函数(例如 MD5 )的帐户过期,从而强制用户在下次登录时更改密码。

  • 锁定密码使用指定哈希函数的帐户。

  • 还原到 ONTAP 9 之前的版本时,请重置集群管理员自己的密码,以使其与早期版本支持的哈希函数( MD5 )兼容。

ONTAP只能使用NetApp易管理性SDK接受哈希前的SHA-2密码 (security-login-createsecurity-login-modify-password)。

步骤
  1. 将 MD5 管理员帐户迁移到 SHA-512 密码哈希函数:

    1. 使所有MD5管理员帐户过期: security login expire-password -vserver * -username * -hash-function md5

      这样做会强制 MD5 帐户用户在下次登录时更改密码。

    2. 要求 MD5 帐户的用户通过控制台或 SSH 会话登录。

      系统会检测到帐户已过期,并提示用户更改密码。默认情况下, SHA-512 用于更改的密码。

  2. 对于用户在一段时间内未登录更改密码的 MD5 帐户,强制迁移帐户:

    1. 锁定仍使用MD5哈希函数的帐户(高级权限级别): security login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      在指定的天数之后 -lock-after,则用户无法访问其MD5帐户。

    2. 当用户准备好更改密码时解锁帐户: security login unlock -vserver svm_name -username user_name

    3. 让用户通过控制台或 SSH 会话登录到其帐户,并在系统提示时更改密码。