简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

对管理员帐户密码强制执行 SHA-2

提供者 下载此页面的 PDF

升级后,在 ONTAP 9.0 之前创建的管理员帐户将继续使用 MD5 密码,直到手动更改密码为止。MD5 的安全性低于 SHA-2 。因此,升级后,您应提示 MD5 帐户的用户更改密码,以使用默认的 SHA-512 哈希函数。

密码哈希功能可用于执行以下操作:

  • 显示与指定哈希函数匹配的用户帐户。

  • 使使用指定哈希函数(例如 MD5 )的帐户过期,从而强制用户在下次登录时更改密码。

  • 锁定密码使用指定哈希函数的帐户。

  • 还原到 ONTAP 9 之前的版本时,请重置集群管理员自己的密码,以使其与早期版本支持的哈希函数( MD5 )兼容。

ONTAP 仅使用 NetApp 易管理性 SDK ( security-login-create 和 security-login-modify-password )接受预哈希的 SHA-2 密码。

  1. 将 MD5 管理员帐户迁移到 SHA-512 密码哈希函数:

    1. 使所有 MD5 管理员帐户过期: ssecurity login expire-password -vserver * -username * -hash-function MD5

      这样做会强制 MD5 帐户用户在下次登录时更改密码。

    2. 要求 MD5 帐户的用户通过控制台或 SSH 会话登录。

      系统会检测到帐户已过期,并提示用户更改密码。默认情况下, SHA-512 用于更改的密码。

  2. 对于用户在一段时间内未登录更改密码的 MD5 帐户,强制迁移帐户:

    1. 锁定仍使用 MD5 哈希函数的帐户(高级权限级别): ssecurity login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      在 -lock-after 指定的天数后,用户将无法访问其 MD5 帐户。

    2. 在用户准备好更改密码时解除帐户锁定: ssecurity login unlock -vserver vserver_name -username user_name

    3. 让用户通过控制台或 SSH 会话登录到其帐户,并在系统提示时更改密码。