Aller au contenu principal

Utilisation de mots de passe cryptés pour l’authentification

Utilisez les informations dans cette rubrique pour comprendre comment utiliser les mots de passe cryptés pour l’authentification.

Outre l’utilisation des mots de passe et des comptes utilisateur LDAP/AD, le XClarity Controller prend également en charge les mots de passe cryptés de tiers pour l’authentification. Le mot de passe spécial utilise un format de cryptage à sens unique (SHA256) et est pris en charge également par XClarity Controller Web et les interfaces OneCLI et CLI. Toutefois, veuillez noter que l’authentification de XCC SNMP et des interfaces IPMI et CIM ne prennent pas en charge les mots de passe cryptés de tiers. Uniquement l’outil OneCLI et l’interface CLI de XCC peuvent créer un nouveau compte avec un mot de passe crypté ou effectuer une mise à jour du mot de passe crypté. Le XClarity Controller permet également à l’outil OneCLI et l’interface XClarity Controller CLI de récupérer le mot de passe crypté si la fonction de lecture de mot de passe crypté est activée.

Définir un mot de passe crypté via XClarity Controller web

Cliquez sur Sécurité sous Configuration BMC, faites défiler jusqu'à la section Security Password Manager pour activer ou désactiver la fonction de mot de passe tiers. Si activé, un mot de passe crypté de tiers est utilisé pour l’authentification de la connexion. La récupération du mot de passe crypté de tiers depuis le XClarity Controller peut également être activée ou désactivée.
Remarque
Par défaut, les fonctions Third-party Password et Allow Third-party Password Retrieval sont désactivées.
Pour vérifier si le mot de passe est natif ou un mot de passe de tiers, cliquez sur User/LDAP sous BMC Configuration pour plus d’informations. Les informations se trouveront dans la colonne attribut avancé.
Remarque
  • Les utilisateurs ne seront pas en mesure de modifier un mot de passe s’il s’agit d’un mot de passe de tiers et les zones Mot de passe et Confirmer mot de passe ont été grisées.

  • Si le mot de passe de tiers a expiré, un message d’avertissement s’affichera lors du processus de connexion de l’utilisateur.

Définir le mot de passe crypté via la fonction OneCLI
  • Activation de la fonction

    $ sudo OneCli config set IMM.ThirdPartyPassword Enabled

  • Création d'un mot de passe crypté (sans Salt). L’exemple suivant montre un example d'une connexion à XClarity Controller à l'aide du mot de passe password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

  • Création d’un utilisateur avec un mot de passe crypté (avec Salt). L’exemple suivant montre un example d'une connexion à XClarity Controller à l'aide du mot de passe password123. Salt=abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    $ sudo OneCli config set IMM.Loginid.3 Admin

    $ sudo OneCli config set IMM.SHA256Password.3 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'

  • Récupération du mot de passe crypté et salt.

    $ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled

    $ sudo OneCli config show IMM.SHA256Password.3

    $ sudo OneCli config show IMM.SHA256PasswordSalt.3

  • Suppression du mot de passe crypté et salt.

    $ sudo OneCli config set IMM.SHA256Password.3 ""

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""

  • Attribution du mot de passe crypté à un compte existant.

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.Password.2 Passw0rd123abc

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

    Remarque
    Lorsque le mot de passe crypté est défini, ce mot de passe prend effet immédiatement. Le mot de passe standard d’origine ne fonctionnera plus. Dans cet exemple, le mot de passe d’origine standard Passw0rd123abc ne peut plus être utilisé jusqu'à ce que le mot de passe crypté est supprimé.

Définir le mot de passe crypté via la fonction CLI
  • Activation de la fonction

    > hashpw -sw enabled

  • Création d'un mot de passe crypté (sans Salt). L’exemple suivant montre un example d'une connexion à XClarity Controller à l'aide du mot de passe password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    > users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

  • Création d’un utilisateur avec un mot de passe crypté (avec Salt). L’exemple suivant montre un example d'une connexion à XClarity Controller à l'aide du mot de passe password123. Salt=abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    > users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super

  • Récupération du mot de passe crypté et salt.

    > hashpw -re enabled

    > users -3 -ghp -gsalt

  • Suppression du mot de passe crypté et salt.

    > users -3 -shp "" -ssalt ""

  • Attribution du mot de passe crypté à un compte existant.

    > users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

    Remarque
    Lorsque le mot de passe crypté est défini, ce mot de passe prend effet immédiatement. Le mot de passe standard d’origine ne fonctionnera plus. Dans cet exemple, le mot de passe d’origine standard Passw0rd123abc ne peut plus être utilisé jusqu'à ce que le mot de passe crypté est supprimé.

Une fois le mot de passe crypté a été configuré, rappelez-vous de pas utiliser ce dernier pour vous connecter au XClarity Controller. Lors de la connexion, vous devez utiliser le mot de passe en texte clair. Dans l’exemple ci-dessous, le mots de passe en texte clair est « password123 ».

$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super