Passa al contenuto principale

Utilizzo delle password con hash per l'autenticazione

Utilizzare le informazioni in questa sezione per comprendere come utilizzare le password con hash per l'autenticazione.

Oltre all'utilizzo della password e degli account utente LDAP/AD, XClarity Controller supporta le password con hash di terze parti per l'autenticazione. La password speciale utilizza un formato con hash unidirezionale (SHA256) ed è supportata dalle interfacce di CLI, OneCLI e Web di XClarity Controller. Tuttavia, tenere presente che l'autenticazione delle interfacce XCC SNMP, IPMI e CIM non supporta le password con hash di terze parti. Solo lo strumento OneCLI e l'interfaccia CLI di XCC possono creare un nuovo account con una password con hash o eseguire un aggiornamento di una password con hash. XClarity Controller consente inoltre allo strumento OneCLI e all'interfaccia CLI di XClarity Controller di recuperare le password con hash, se la funzione di lettura delle password con hash è abilitata.

Impostazione della password con hash mediante l'interfaccia Web di XClarity Controller

Fare clic su Sicurezza in Configurazione BMC e scorrere fino alla sezione Security Password Manager per abilitare o disabilitare la funzione Password di terze parti. Se abilitata, una password con hash di terze parti viene utilizzata per l'autenticazione di accesso. Il recupero della password con hash di terze parti da XClarity Controller può essere abilitato o disabilitato.
Nota
Per impostazione predefinita, le funzioni Password di terze parti e Consenti recupero password di terze parti sono disabilitate.
Per verificare se la password utente è Nativa o è una Password di terze parti, fare clic su Utente/LDAP in Configurazione BMC per maggiori dettagli. Le informazioni verranno riportato sotto la colonna Attributo avanzato.
Nota
  • Gli utenti non potranno modificare una password, se la password è di terze parti e i campi Password e Conferma password sono disattivati.

  • Se la password di terze parti è scaduta, verrà visualizzato un messaggio di avvertenza durante il processo di login dell'utente.

Impostazione della password con hash mediante la funzione OneCLI
  • Abilitazione della funzione.

    $ sudo OneCli config set IMM.ThirdPartyPassword Enabled

  • Creazione di password con hash (senza Salt). Di seguito è riportato un esempio di login a XClarity Controller mediante la password password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

  • Creazione di un utente con password con hash (con Salt). Di seguito è riportato un esempio di login a XClarity Controller mediante la password password123. Salt = abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    $ sudo OneCli config set IMM.Loginid.3 Admin

    $ sudo OneCli config set IMM.SHA256Password.3 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'

  • Recupero della password con hash e salt.

    $ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled

    $ sudo OneCli config show IMM.SHA256Password.3

    $ sudo OneCli config show IMM.SHA256PasswordSalt.3

  • Eliminazione della password con hash e salt.

    $ sudo OneCli config set IMM.SHA256Password.3 ""

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""

  • Impostazione della password con hash in un account esistente.

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.Password.2 Passw0rd123abc

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

    Nota
    Una volta impostata, la password con hash è subito effettiva. La password standard originale non sarà più valida. In questo esempio, la password standard originale Passw0rd123abc non può essere più utilizzata finché la password con hash non viene eliminata.

Impostazione della password con hash mediante la funzione CLI
  • Abilitazione della funzione.

    > hashpw -sw enabled

  • Creazione di password con hash (senza Salt). Di seguito è riportato un esempio di login a XClarity Controller mediante la password password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    > users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

  • Creazione di un utente con password con hash (con Salt). Di seguito è riportato un esempio di login a XClarity Controller mediante la password password123. Salt = abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    > users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super

  • Recupero della password con hash e salt.

    > hashpw -re enabled

    > users -3 -ghp -gsalt

  • Eliminazione della password con hash e salt.

    > users -3 -shp "" -ssalt ""

  • Impostazione della password con hash in un account esistente.

    > users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

    Nota
    Una volta impostata, la password con hash è subito effettiva. La password standard originale non sarà più valida. In questo esempio, la password standard originale Passw0rd123abc non può essere più utilizzata finché la password con hash non viene eliminata.

Una volta impostata la password con hash, non utilizzarla per eseguire il login a XClarity Controller. Quando si esegue il login, sarà necessario utilizzare la password in testo normale. Nel seguente esempio, la password in testo normale è "password123".

$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super