登录和密码参数
-
本文档站点的 PDF
- NAS 存储管理
单独 PDF 文档的收集
Creating your file...
有效的安全防护符合既定的组织策略、准则以及适用于组织的任何监管或标准。这些要求的示例包括用户名生命周期、密码长度要求、字符要求以及此类帐户的存储。ONTAP解决方案提供了一些特性和功能来解决这些安全结构问题。
新的本地帐户功能
要支持组织的用户帐户策略、准则或标准(包括监管)、ONTAP支持以下功能:
-
配置密码策略以强制实施最少数字、小写字符或大写字符数
-
登录尝试失败后需要延迟
-
定义帐户非活动限制
-
使用户帐户过期
-
显示密码到期警告消息
-
登录无效通知
可配置的设置可使用security login Role config修改命令进行管理。 |
SHA-512支持
为了增强密码安全性、ONTAP 9支持SHA-2密码哈希函数、并默认使用SHA-512对新创建或更改的密码进行哈希。操作员和管理员还可以根据需要使帐户过期或锁定帐户。
升级到ONTAP 9.0或更高版本后、未更改密码的原有ONTAP 9用户帐户仍可使用MD5哈希函数。但是、NetApp强烈建议用户更改密码、将这些用户帐户迁移到更安全的SHA-512解决方案。
通过密码哈希功能、您可以执行以下任务:
-
显示与指定哈希函数匹配的用户帐户:
cluster1::*> security login show -user-or-group-name NewAdmin -fields hash-function vserver user-or-group-name application authentication-method hash-function -------- ------------------ ----------- --------------------- ------------- cluster1 NewAdmin console password sha512 cluster1 NewAdmin ontapi password sha512 cluster1 NewAdmin ssh password sha512
-
使使用指定哈希函数(例如MD5)的帐户过期、从而强制用户在下次登录时更改密码:
cluster1::*> security login expire-password -vserver * -username * -hash-function md5
-
使用使用指定哈希函数的密码锁定帐户。
cluster1::*> security login lock -vserver * -username * -hash-function md5
集群管理SVM中的内部用户无法识别密码哈希函数
autosupport
。此问题无关紧要。哈希函数未知、因为默认情况下、此内部用户未配置密码。-
要查看用户的密码哈希函数
autosupport
、请运行以下命令:::> set advanced ::> security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: unknown Second Authentication Method2: none
-
要设置密码哈希函数(默认值:SHA512)、请运行以下命令:
::> security login password -username autosupport
密码设置为什么无关紧要。
security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: sha512 Second Authentication Method2: none
-
密码参数
ONTAP 解决方案提供满足并支持企业策略要求和准则的密码参数。
属性 | Description | Default | 范围 |
---|---|---|---|
|
最短用户名长度限制 |
3. |
3-16 |
|
用户名字母数字 |
已禁用 |
启用/禁用 |
|
最短密码长度限制 |
8. |
3-64 |
|
密码字母数字 |
enabled |
启用/禁用 |
|
密码中的最少特殊字符数限制 |
0 |
0-64 |
|
密码到期时间(天) |
无限制,表示密码永不过期 |
0-unlimited 0 == 立即过期 |
|
需要在首次登录时更新初始密码 |
已禁用 |
启用/禁用 允许通过控制台或SSH进行更改 |
|
尝试失败的最大次数 |
0,不锁定帐户 |
- |
|
最大锁定期限(天) |
默认值为 0,表示帐户锁定一天 |
- |
|
禁止使用最后N个密码 |
6. |
最小为 6 |
|
密码更改之间的延迟(天) |
0 |
- |
|
每次登录尝试失败后的延迟(秒) |
4. |
- |
|
密码中的最少小写字母字符数限制 |
0,表示不需要小写字母字符 |
0-64 |
|
最少大写字母字符数限制 |
0,表示不需要大写字母字符 |
0-64 |
|
密码中的最小数字字符数限制 |
0,表示不需要数字字符 |
0-64 |
|
在帐户到期之前显示警告消息(天) |
无限制,表示从不发出密码过期警告 |
0,表示每次成功登录时均提醒用户密码即将过期 |
|
帐户将在N天后过期 |
无限制,表示帐户永不过期 |
帐户到期时间必须大于帐户非活动限制 |
|
帐户过期之前处于非活动状态的最大持续时间(天) |
无限制,表示非活动帐户永不过期 |
帐户非活动限制必须小于帐户到期时间 |
cluster1::*> security login role config show -vserver cluster1 -role admin Vserver: cluster1 Role Name: admin Minimum Username Length Required: 3 Username Alpha-Numeric: disabled Minimum Password Length Required: 8 Password Alpha-Numeric: enabled Minimum Number of Special Characters Required in the Password: 0 Password Expires In (Days): unlimited Require Initial Password Update on First Login: disabled Maximum Number of Failed Attempts: 0 Maximum Lockout Period (Days): 0 Disallow Last 'N' Passwords: 6 Delay Between Password Changes (Days): 0 Delay after Each Failed Login Attempt (Secs): 4 Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0 Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0 Minimum Number of Digits Required in the Password: 0 Display Warning Message Days Prior to Password Expiry (Days): unlimited Account Expires in (Days): unlimited Maximum Duration of Inactivity before Account Expiration (Days): unlimited
从9.14.1开始、密码的复杂性和锁定规则将增加。这仅适用于全新安装的ONTAP。 |