Перейти к основному содержимому

Использование хэшированных паролей для аутентификации

Воспользуйтесь информацией из этого раздела, чтобы понять, как использовать хэшированные пароли для аутентификации.

Помимо использования паролей и учетных записей пользователей LDAP/AD XClarity Controller поддерживает сторонние хэшированные пароли для аутентификации. Специальный пароль имеет формат одностороннего хэша (SHA256) и поддерживается веб-интерфейсом XClarity Controller, средством OneCLI и интерфейсом командной строки. Однако помните, что аутентификация интерфейсов XCC SNMP, IPMI и CIM не поддерживает сторонние хэшированные пароли. Только средство OneCLI и интерфейс командной строки XCC могут создавать новые учетные записи с хэшированным паролем или выполнять обновление хэшированных паролей. XClarity Controller также позволяет средству OneCLI и интерфейсу командной строки XClarity Controller получить хэшированный пароль, если включена возможность чтения хэшированных паролей.

Настройка хэшированного пароля с помощью веб-интерфейса XClarity Controller

Нажмите Безопасность в разделе BMC Configuration и прокрутите раздел Security Password Manager, чтобы включить или отключить функцию стороннего пароля. Если эта функция включена, то для аутентификации при входе в систему будет использоваться сторонний хэшированный пароль. Кроме того, можно включить или отключить получение стороннего хэшированного пароля из XClarity Controller.
Прим.
По умолчанию функции Сторонний пароль и Разрешить получение стороннего пароля отключены.
Чтобы проверить тип пароля пользователя (Собственный или Сторонний пароль), нажмите Пользователь/LDAP в разделе BMC Configuration для получения дополнительных сведений. Сведения будут представлены в столбце Дополнительный атрибут.
Прим.
  • Пользователи не смогут изменить пароль, если он является сторонним паролем, и поля Пароль и Подтверждение пароля будут затемнены.

  • Если срок действия стороннего пароля истек, в процессе входа в систему отобразится предупреждающее сообщение.

Настройка хэшированного пароля с помощью функции OneCLI
  • Включение функции

    $ sudo OneCli config set IMM.ThirdPartyPassword Enabled

  • Создание хэшированного пароля (без Salt). Ниже приведен пример входа в XClarity Controller с использованием пароля password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

  • Создание пользователя с хэшированным паролем (с Salt). Ниже приведен пример входа в XClarity Controller с использованием пароля password123. Salt = abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    $ sudo OneCli config set IMM.Loginid.3 Admin

    $ sudo OneCli config set IMM.SHA256Password.3 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'

  • Получение хэшированного пароля и salt.

    $ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled

    $ sudo OneCli config show IMM.SHA256Password.3

    $ sudo OneCli config show IMM.SHA256PasswordSalt.3

  • Удаление хэшированного пароля и salt.

    $ sudo OneCli config set IMM.SHA256Password.3 ""

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""

  • Задание хэшированного пароля для существующей учетной записи.

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.Password.2 Passw0rd123abc

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

    Прим.
    Хэшированный пароль вступает в силу сразу же после его создания. Исходный стандартный пароль больше не будет действовать. В этом примере исходный стандартный пароль Passw0rd123abc больше не может использоваться, пока не будет удален хэшированный пароль.

Настройка хэшированного пароля с помощью интерфейса командной строки
  • Включение функции

    > hashpw -sw enabled

  • Создание хэшированного пароля (без Salt). Ниже приведен пример входа в XClarity Controller с использованием пароля password123.

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    > users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

  • Создание пользователя с хэшированным паролем (с Salt). Ниже приведен пример входа в XClarity Controller с использованием пароля password123. Salt = abc.

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    > users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super

  • Получение хэшированного пароля и salt.

    > hashpw -re enabled

    > users -3 -ghp -gsalt

  • Удаление хэшированного пароля и salt.

    > users -3 -shp "" -ssalt ""

  • Задание хэшированного пароля для существующей учетной записи.

    > users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

    Прим.
    Хэшированный пароль вступает в силу сразу же после его создания. Исходный стандартный пароль больше не будет действовать. В этом примере исходный стандартный пароль Passw0rd123abc больше не может использоваться, пока не будет удален хэшированный пароль.

После настройки хэшированного пароля помните, что он не используется для входа в XClarity Controller. При входе в систему необходимо использовать пароль в виде обычного текста. В примере ниже используется пароль в виде обычного текста password123.

$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super