登入和密碼參數
建議變更
PDF
有效的安全態勢遵循既定的組織原則、準則、以及適用於組織的任何治理或標準。這些需求的範例包括使用者名稱存留期、密碼長度要求、字元需求、以及這類帳戶的儲存。ONTAP 解決方案提供解決這些安全性架構的功能。
新的本機帳戶功能
為了支援組織的使用者帳戶原則、準則或標準、包括治理、 ONTAP 支援下列功能:
-
設定密碼原則以強制執行最小位數、小寫字元或大寫字元數
-
登入嘗試失敗後需要延遲
-
定義帳戶非使用中限制
-
使用者帳戶過期
-
顯示密碼過期警告訊息
-
登入無效的通知
|
可設定的設定是使用安全登入角色組態修改命令來管理。 |
支援 SHA-512
為了加強密碼安全性、 ONTAP 9 支援 SHA-2 密碼雜湊功能、並預設使用 SHA-512 來雜湊新建立或變更的密碼。操作員和管理員也可以視需要過期或鎖定帳戶。
在升級至 ONTAP 9.0 或更新版本之後、具有未變更密碼的現有 ONTAP 9 使用者帳戶會繼續使用 MD5 雜湊功能。不過、 NetApp 強烈建議使用者變更密碼、以移轉至更安全的 SHA-512 解決方案。
密碼雜湊功能可讓您執行下列工作:
-
顯示符合指定雜湊功能的使用者帳戶:
cluster1::*> security login show -user-or-group-name NewAdmin -fields hash-function vserver user-or-group-name application authentication-method hash-function -------- ------------------ ----------- --------------------- ------------- cluster1 NewAdmin console password sha512 cluster1 NewAdmin ontapi password sha512 cluster1 NewAdmin ssh password sha512
-
使使用指定雜湊功能(例如、 MD5 )的帳戶過期、強制使用者在下一次登入時變更其密碼:
cluster1::*> security login expire-password -vserver * -username * -hash-function md5
-
使用使用指定雜湊功能的密碼鎖定帳戶。
cluster1::*> security login lock -vserver * -username * -hash-function md5
叢集管理 SVM 中的內部使用者無法辨識密碼雜湊功能
autosupport。此問題只是表面問題。雜湊功能未知、因為此內部使用者預設沒有設定的密碼。-
若要檢視使用者的密碼雜湊功能
autosupport、請執行下列命令:::> set advanced ::> security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: unknown Second Authentication Method2: none -
若要設定密碼雜湊功能(預設值: SHA512 )、請執行下列命令:
::> security login password -username autosupport
無論密碼設定為何、都沒有關係。
security login show -user-or-group-name autosupport -instance Vserver: cluster1 User Name or Group Name: autosupport Application: console Authentication Method: password Remote Switch IP Address: - Role Name: autosupport Account Locked: no Comment Text: - Whether Ns-switch Group: no Password Hash Function: sha512 Second Authentication Method2: none -
密碼參數
ONTAP 解決方案支援密碼參數、可滿足及支援組織原則需求與準則。
| 屬性 | 說明 | 預設 | 範圍 |
|---|---|---|---|
|
需要使用者名稱長度下限 |
3. |
3-16 |
|
使用者名稱英數字元 |
已停用 |
啟用 / 停用 |
|
所需的密碼長度下限 |
8. |
3-64 |
|
密碼英數字元 |
已啟用 |
啟用 / 停用 |
|
密碼中所需的最少特殊字元數 |
0% |
0-64 |
|
密碼過期時間(以天為單位) |
無限制、這表示密碼永遠不會過期 |
不受限制 0 = 現在到期 |
|
首次登入時需要初始密碼更新 |
已停用 |
啟用 / 停用 允許透過主控台或 SSH 進行變更 |
|
失敗嘗試次數上限 |
0 、請勿鎖定帳戶 |
- |
|
最長鎖定期間(以天為單位) |
預設值為 0 、表示帳戶已鎖定一天 |
- |
|
不允許最後 N 個密碼 |
6. |
最小值為 6 |
|
密碼變更之間的延遲(以天為單位) |
0% |
- |
|
每次登入嘗試失敗後的延遲(以秒為單位) |
4. |
- |
|
密碼中所需的最小小寫字母字元數 |
0 、不需要小寫字元 |
0-64 |
|
所需的大寫字母字元數下限 |
0 、不需要大寫字元 |
0-64 |
|
密碼中所需的最小位數 |
0 、不需要數字 |
0-64 |
|
在密碼過期前顯示警告訊息(以天為單位) |
無限制、這表示永遠不會警告密碼過期 |
0 、這表示每次成功登入時、都會警告使用者密碼過期 |
|
帳戶在 N 天內過期 |
無限、這表示帳戶永遠不會過期 |
帳戶過期時間必須大於帳戶非使用中限制 |
|
帳戶過期前的最長閒置時間(以天為單位) |
無限、這表示非使用中帳戶永遠不會過期 |
帳戶非使用中限制必須小於帳戶到期時間 |
cluster1::*> security login role config show -vserver cluster1 -role admin
Vserver: cluster1
Role Name: admin
Minimum Username Length Required: 3
Username Alpha-Numeric: disabled
Minimum Password Length Required: 8
Password Alpha-Numeric: enabled
Minimum Number of Special Characters Required in the Password: 0
Password Expires In (Days): unlimited
Require Initial Password Update on First Login: disabled
Maximum Number of Failed Attempts: 0
Maximum Lockout Period (Days): 0
Disallow Last 'N' Passwords: 6
Delay Between Password Changes (Days): 0
Delay after Each Failed Login Attempt (Secs): 4
Minimum Number of Lowercase Alphabetic Characters Required in the Password: 0
Minimum Number of Uppercase Alphabetic Characters Required in the Password: 0
Minimum Number of Digits Required in the Password: 0
Display Warning Message Days Prior to Password Expiry (Days): unlimited
Account Expires in (Days): unlimited
Maximum Duration of Inactivity before Account Expiration (Days): unlimited
|
|
從 9.14.1 開始、密碼的複雜度和鎖定規則都會增加。這僅適用於 ONTAP 的新安裝。 |