エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

管理者アカウント パスワードでのSHA-2の適用

タスク概要

パスワード ハッシュ機能を使用すると次のことが可能です。

  • 指定したハッシュ関数に一致するユーザー アカウントを表示する。

  • 指定したハッシュ関数(MD5など)を使用するアカウントを期限切れにして、次回ログイン時にユーザーにパスワードを変更させる。

  • 指定したハッシュ関数を使用するパスワードが指定されたアカウントをロックする。

ONTAPは、Manageability SDK(security-login-createsecurity-login-modify-password)を使用する場合にのみ、事前にハッシュ化されたSHA-2パスワードを受け付けます。

手順
  1. MD5管理者アカウントをSHA-512パスワード ハッシュ関数に移行します。

    1. すべてのMD5管理者アカウントを期限切れにします。security login expire-password -vserver * -username * -hash-function md5

      これにより、MD5アカウントのユーザーは、次回のログイン時にパスワードの変更が必要になります。

    2. MD5アカウントのユーザーに、コンソールまたはSSHセッションを使用してログインするよう促します。

      システムによってアカウントの有効期限が切れていることが検出され、ユーザーにパスワードの変更を求めるメッセージが表示されます。変更されたパスワードでは、デフォルトでSHA-512が使用されます。

  2. ユーザーが一定期間ログインしていないためにパスワードが変更されていないMD5アカウントについては、強制的にアカウントを移行します。

    1. まだMD5ハッシュ関数を使用しているアカウントをロックします(advanced権限レベル)。security login expire-password -vserver * -username * -hash-function md5 -lock-after integer

      -lock-afterで指定した日数が経過すると、ユーザーはMD5アカウントにアクセスできなくなります。

    2. ユーザーがパスワードを変更できる状態になったら、アカウントのロックを解除します。security login unlock -vserver svm_name -username user_name

    3. ユーザーに、コンソールまたはSSHセッションからアカウントにログインし、表示される指示に従ってパスワードを変更するよう促します。

Top of Page