Saltar al contenido principal

Uso de contraseñas con hash para la autenticación

Utilice la información de este tema para comprender cómo utilizar las contraseñas con hash para la autenticación.

Además de la utilización de contraseñas y cuentas de usuario LDAP/AD, el XClarity Controller también admite contraseñas de terceros con hash para la autenticación. La contraseña especial usa un formato de hash unidireccional (SHA256) y es admitida por las interfaces web de XClarity Controller, OneCLI y CLI. Sin embargo, tenga en cuenta que la autenticación de las interfaces SNMP, IPMI y CIM de XCC no admiten las contraseñas de terceros con hash. Solo la herramienta OneCLI y la interfaz CLI de XCC pueden crear una cuenta nueva con una contraseña con hash o realizar una actualización de la contraseña. El XClarity Controller también permite la herramienta OneCLI y la interfaz de CLI de XClarity Controller para recuperar la contraseña si está habilitada la capacidad de lectura de contraseña con hash.

Establecimiento de la contraseña con hash mediante la web de XClarity Controller

Haga clic en Seguridad en Configuración de BMC y desplácese hasta la sección Security Password Manager para habilitar o deshabilitar la función de la contraseña de terceros. Si se habilita, se utiliza una contraseña de terceros con hash para la autenticación de inicio de sesión. También se puede habilitar o deshabilitar la recuperación de contraseña de terceros con hash desde XClarity Controller.
Nota
De forma predeterminada, las funciones Contraseña de terceros y Permitir recuperación de contraseña de terceros están deshabilitadas.
Para comprobar si la contraseña del usuario es Nativa o una Contraseña de terceros, haga clic en Usuario/LDAP en Configuración de BMC para obtener más detalles. La información estará en la columna Atributo avanzado.
Nota

  • Los usuarios no podrán cambiar una contraseña si se trata de una contraseña de terceros y los campos Contraseña y Confirmar contraseña están desactivados.

  • Si la contraseña de terceros caducó, se mostrará un mensaje de advertencia durante el proceso de inicio de sesión del usuario.

Establecimiento de la contraseña con hash mediante la función OneCLI

  • Habilitar la función

    $ sudo OneCli config set IMM.ThirdPartyPassword Enabled

  • Creación de contraseña con hash ( Sin Salt ). A continuación se muestra un inicio de sesión de ejemplo en XClarity Controller con la contraseña password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

  • Crear un usuario con la contraseña con hash ( Con Salt ). A continuación se muestra un inicio de sesión de ejemplo en XClarity Controller con la contraseña password123. Salt = abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    $ sudo OneCli config set IMM.Loginid.3 Admin

    $ sudo OneCli config set IMM.SHA256Password.3 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'

  • Recuperar la contraseña con hash y salt.

    $ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled

    $ sudo OneCli config show IMM.SHA256Password.3

    $ sudo OneCli config show IMM.SHA256PasswordSalt.3

  • Eliminar la contraseña con hash y salt.

    $ sudo OneCli config set IMM.SHA256Password.3 ""

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""

  • Establecer la contraseña con hash para una cuenta existente.

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.Password.2 Passw0rd123abc

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

    Nota
    Mientras se establece la contraseña con hash, esta contraseña entrará en efecto inmediatamente. La contraseña estándar original dejará de funcionar. En este ejemplo, la contraseña estándar original Passw0rd123abc no se puede utilizar más hasta que se elimine la contraseña con hash.

Establecimiento de la contraseña con hash mediante la función CLI

  • Habilitar la función

    > hashpw -sw enabled

  • Creación de contraseña con hash ( Sin Salt ). A continuación se muestra un inicio de sesión de ejemplo en XClarity Controller con la contraseña password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    > users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

  • Crear un usuario con la contraseña con hash ( Con Salt ). A continuación se muestra un inicio de sesión de ejemplo en XClarity Controller con la contraseña password123. Salt = abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    > users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super

  • Recuperar la contraseña con hash y salt.

    > hashpw -re enabled

    > users -3 -ghp -gsalt

  • Eliminar la contraseña con hash y salt.

    > users -3 -shp "" -ssalt ""

  • Establecer la contraseña con hash para una cuenta existente.

    > users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

    Nota
    Mientras se establece la contraseña con hash, esta contraseña entrará en efecto inmediatamente. La contraseña estándar original dejará de funcionar. En este ejemplo, la contraseña estándar original Passw0rd123abc no se puede utilizar más hasta que se elimine la contraseña con hash.

Después de configurar la contraseña, recuerde no utilizar estas credenciales para iniciar sesión en XClarity Controller. Al iniciar sesión, deberá usar la contraseña legible. En el ejemplo siguiente, la contraseña legible es “password123”.

$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super