Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

對系統管理員帳戶密碼強制執行SHA-2

貢獻者

在升級之後、ONTAP 在更新之前建立的管理員帳戶會繼續使用md5密碼、直到手動變更密碼為止。與SHA-2相比、MD5的安全性較低。因此、在升級之後、您應該提示使用者將密碼變更為使用預設的SHA-512雜湊功能。

關於這項工作

密碼雜湊功能可讓您執行下列動作:

  • 顯示符合指定雜湊功能的使用者帳戶。

  • 使使用指定雜湊功能的帳戶過期(例如、md5)、強制使用者在下次登入時變更密碼。

  • 鎖定密碼使用指定雜湊功能的帳戶。

  • 還原至ONTAP 版本早於發揮作用9的版本時、請重設叢集管理員自己的密碼、使其與舊版支援的雜湊功能(md5)相容。

ONTAP 只接受預先散列的 SHA-2 密碼、只能使用 NetApp Manageability SDK (security-login-createsecurity-login-modify-password)。

步驟
  1. 將md5系統管理員帳戶移轉至SHA-512密碼雜湊功能:

    1. 使所有 MD5 系統管理員帳戶過期: security login expire-password -vserver * -username * -hash-function md5

      如此一來、會強制md5帳戶使用者在下次登入時變更密碼。

    2. 要求具有MD5帳戶的使用者透過主控台或SSH工作階段登入。

      系統偵測到帳戶已過期、並提示使用者變更密碼。SHA-512預設用於變更的密碼。

  2. 若使用者未在一段時間內登入以變更密碼的MD5帳戶、請強制進行帳戶移轉:

    1. 鎖定仍使用 MD5 雜湊功能的帳戶(進階權限層級): security login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      在指定的天數之後 -lock-after、使用者無法存取其 MD5 帳戶。

    2. 當使用者準備好變更密碼時、請解除鎖定帳戶: security login unlock -vserver svm_name -username user_name

    3. 請使用者透過主控台或SSH工作階段登入帳戶、並在系統提示使用者時變更密碼。