Zum Hauptinhalt springen

Gehashte Kennwörter für die Authentifizierung verwenden

In diesem Thema wird die Nutzung von gehashten Kennwörtern zur Authentifizierung erläutert.

Neben der Nutzung von Kennwörtern und LDAP/AD-Benutzeraccounts unterstützt der XClarity Controller auch gehashte Drittanbieterkennwörter zur Authentifizierung. Das spezielle Kennwort verwendet ein einseitiges Hashformat (SHA256) und wird sowohl von der XClarity Controller-Webschnittstelle als auch von der OneCLI- und der Befehlszeilenschnittstelle unterstützt. Beachten Sie jedoch, dass die Authentifizierungen der XCC SNMP-, IPMI- und CIM-Schnittstellen keine gehashten Drittanbieterkennwörter unterstützten. Nur das OneCLI-Tool und die XCC-Befehlszeilenschnittstelle können einen neuen Account mit einem gehashten Kennwort erstellen oder ein gehashtes Kennwort aktualisieren. Der XClarity Controller ermöglicht dem OneCLI-Tool und der XClarity Controller-Befehlszeilenschnittstelle zudem das Abrufen eines gehashten Kennworts, wenn die Funktion zum Lesen gehashter Kennwörter aktiviert ist.

Gehashtes Kennwort über das XClarity Controller-Web festlegen

Klicken Sie unter BMC-Konfiguration auf Sicherheit. Blättern Sie zum Abschnitt Security Password Manager, um die Funktion für Drittanbieterkennwörter zu aktivieren oder zu deaktivieren. Bei aktivierter Funktion wird ein gehashtes Drittanbieterkennwort für die Anmeldeauthentifizierung verwendet. Das Abrufen eines gehashten Drittanbieterkennworts über den XClarity Controller kann auch aktiviert oder deaktiviert werden.
Anmerkung
Standardmäßig sind die Funktionen Drittanbieterkennwort und Drittanbieterkennwort abrufen deaktiviert.
Um zu überprüfen, ob das Benutzerkennwort systemeigen oder ein Drittanbieterkennwort ist, können Sie durch Klicken auf Benutzer/LDAP unter BMC-Konfiguration Details anzeigen. Die Informationen werden in der Spalte Erweitertes Attribut angezeigt.
Anmerkung
  • Benutzer können ein Kennwort nicht ändern, wenn es ein Drittanbieterkennwort ist. Die Felder Kennwort und Kennwort bestätigen sind abgeblendet.

  • Wenn ein Drittanbieterkennwort abgelaufen ist, wird während der Benutzeranmeldung eine Warnung angezeigt.

Ein gehashtes Kennwort über die OneCLI-Funktion festlegen
  • Funktion aktivieren

    $ sudo OneCli config set IMM.ThirdPartyPassword Enabled

  • Gehashtes Kennwort erstellen (kein Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

  • Benutzer mit gehashtem Kennwort erstellen (mit Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt. Salt=abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    $ sudo OneCli config set IMM.Loginid.3 Admin

    $ sudo OneCli config set IMM.SHA256Password.3 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'

  • Gehashtes Kennwort und salt abrufen.

    $ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled

    $ sudo OneCli config show IMM.SHA256Password.3

    $ sudo OneCli config show IMM.SHA256PasswordSalt.3

  • Gehashtes Kennwort und salt löschen.

    $ sudo OneCli config set IMM.SHA256Password.3 ""

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""

  • Gehashtes Kennwort für einen bestehenden Account festlegen.

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.Password.2 Passw0rd123abc

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

    Anmerkung
    Beim Festlegen des gehashten Kennworts wird das Kennwort sofort wirksam. Das ursprüngliche Standardkennwort ist nicht mehr gültig. In diesem Beispiel kann das ursprüngliche Standardkennwort Passw0rd123abc nicht mehr verwendet werden, bis das gehashte Kennwort gelöscht wird.

Ein gehashtes Kennwort über die Befehlszeilenschnittstellen-Funktion festlegen
  • Funktion aktivieren

    > hashpw -sw enabled

  • Gehashtes Kennwort erstellen (kein Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    > users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

  • Benutzer mit gehashtem Kennwort erstellen (mit Salt). Nachfolgend wird ein Beispiel für die Anmeldung beim XClarity Controller mit dem Kennwort password123 angezeigt. Salt=abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    > users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super

  • Gehashtes Kennwort und salt abrufen.

    > hashpw -re enabled

    > users -3 -ghp -gsalt

  • Gehashtes Kennwort und salt löschen.

    > users -3 -shp "" -ssalt ""

  • Gehashtes Kennwort für einen bestehenden Account festlegen.

    > users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

    Anmerkung
    Beim Festlegen des gehashten Kennworts wird das Kennwort sofort wirksam. Das ursprüngliche Standardkennwort ist nicht mehr gültig. In diesem Beispiel kann das ursprüngliche Standardkennwort Passw0rd123abc nicht mehr verwendet werden, bis das gehashte Kennwort gelöscht wird.

Denken Sie nach Festlegung des gehashten Kennworts daran, es nicht für die Anmeldung am XClarity Controller zu verwenden. Bei der Anmeldung müssen Sie das Klartextkennwort verwenden. Im folgenden Beispiel lautet das Klartextkennwort „password123“.

$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super