Gehashte Kennwörter für die Authentifizierung verwenden
In diesem Thema wird die Nutzung von gehashten Kennwörtern zur Authentifizierung erläutert.
Neben der Nutzung von Kennwörtern und LDAP/AD-Benutzeraccounts unterstützt der XClarity Controller auch gehashte Drittanbieterkennwörter zur Authentifizierung. Das spezielle Kennwort verwendet ein einseitiges Hashformat (SHA256) und wird sowohl von der XClarity Controller-Webschnittstelle als auch von der OneCLI- und der Befehlszeilenschnittstelle unterstützt. Beachten Sie jedoch, dass die Authentifizierungen der XCC SNMP-, IPMI- und CIM-Schnittstellen keine gehashten Drittanbieterkennwörter unterstützten. Nur das OneCLI-Tool und die XCC-Befehlszeilenschnittstelle können einen neuen Account mit einem gehashten Kennwort erstellen oder ein gehashtes Kennwort aktualisieren. Der XClarity Controller ermöglicht dem OneCLI-Tool und der XClarity Controller-Befehlszeilenschnittstelle zudem das Abrufen eines gehashten Kennworts, wenn die Funktion zum Lesen gehashter Kennwörter aktiviert ist.
Gehashtes Kennwort über das XClarity Controller-Web festlegen
Benutzer können ein Kennwort nicht ändern, wenn es ein Drittanbieterkennwort ist. Die Felder Kennwort und Kennwort bestätigen sind abgeblendet.
Wenn ein Drittanbieterkennwort abgelaufen ist, wird während der Benutzeranmeldung eine Warnung angezeigt.
Funktion aktivieren
$ sudo OneCli config set IMM.ThirdPartyPassword Enabled
Gehashtes Kennwort erstellen (kein Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt.
$ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`
$ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
$ sudo OneCli config set IMM.Loginid.2 admin
$ sudo OneCli config set IMM.SHA256Password.2 $pwhash
$ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""
Benutzer mit gehashtem Kennwort erstellen (mit Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt. Salt=abc.
$ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`
$ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee
$ sudo OneCli config set IMM.Loginid.3 Admin
$ sudo OneCli config set IMM.SHA256Password.3 $pwhash
$ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'
Gehashtes Kennwort und salt abrufen.
$ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled
$ sudo OneCli config show IMM.SHA256Password.3
$ sudo OneCli config show IMM.SHA256PasswordSalt.3
Gehashtes Kennwort und salt löschen.
$ sudo OneCli config set IMM.SHA256Password.3 ""
$ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""
Gehashtes Kennwort für einen bestehenden Account festlegen.
$ sudo OneCli config set IMM.Loginid.2 admin
$ sudo OneCli config set IMM.Password.2 Passw0rd123abc
$ sudo OneCli config set IMM.SHA256Password.2 $pwhash
$ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""
AnmerkungBeim Festlegen des gehashten Kennworts wird das Kennwort sofort wirksam. Das ursprüngliche Standardkennwort ist nicht mehr gültig. In diesem Beispiel kann das ursprüngliche StandardkennwortPassw0rd123abc nicht mehr verwendet werden, bis das gehashte Kennwort gelöscht wird.
Funktion aktivieren
> hashpw -sw enabled
Gehashtes Kennwort erstellen (kein Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt.
$ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super
Benutzer mit gehashtem Kennwort erstellen (mit Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt. Salt=abc.
$ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`
$ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee
> users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super
Gehashtes Kennwort und salt abrufen.
> hashpw -re enabled
> users -3 -ghp -gsalt
Gehashtes Kennwort und salt löschen.
> users -3 -shp "" -ssalt ""
Gehashtes Kennwort für einen bestehenden Account festlegen.
> users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super
AnmerkungBeim Festlegen des gehashten Kennworts wird das Kennwort sofort wirksam. Das ursprüngliche Standardkennwort ist nicht mehr gültig. In diesem Beispiel kann das ursprüngliche StandardkennwortPassw0rd123abc nicht mehr verwendet werden, bis das gehashte Kennwort gelöscht wird.
Denken Sie nach Festlegung des gehashten Kennworts daran, es nicht für die Anmeldung am XClarity Controller zu verwenden. Bei der Anmeldung müssen Sie das Klartextkennwort verwenden. Im folgenden Beispiel lautet das Klartextkennwort „password123“.
$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super