メインコンテンツまでスキップ

認証用にハッシュド・パスワードを使用

このトピックでは、認証にハッシュド・パスワードを使用する方法について説明します。

パスワードと LDAP/AD ユーザー・アカウントの使用に加えて、XClarity Controller では認証用にサード・パーティーのハッシュド・パスワードもサポートされます。この特別なパスワードでは、1 方向のハッシュ (SHA256) 形式を使用し、XClarity Controller Web、OneCLI、および CLI インターフェースでサポートされます。ただし、XCC SNMP、IPMI、および CIM インターフェースの認証では、サード・パーティーのハッシュド・パスワードはサポートされないことに注意してください。OneCLI ツールおよび XCC CLI インターフェースでのみ、ハッシュド・パスワードによる新しいアカウントの作成やハッシュの更新が可能です。XClarity Controller ではまた、OneCLI ツールおよび XClarity Controller CLI インターフェースにより、ハッシュド・パスワードの読み取り機能が有効である場合に、ハッシュド・パスワードを取得することもできます。

XClarity Controller Web を介したハッシュド・パスワードの設定

BMC 構成」の「セキュリティー」をクリックし、「Security Password Manager」セクションまでスクロールして、サード・パーティー・パスワード機能を有効または無効にします。有効にした場合、ログイン認証にサード・パーティーのハッシュド・パスワードが使用されます。また、XClarity Controller からのサード・パーティーハッシュドの検索も無効または有効にできます。
デフォルトで、サード・パーティーのパスワードおよびサード・パーティーのパスワードの取得機能は無効です。
ユーザー・パスワードがネイティブまたはサード・パーティーのパスワードのいずれであるかをチェックするには、「BMC 構成」「ユーザー/LDAP」をクリックし、詳細を確認します。この情報は、Advanced Attribute (詳細な属性)」列に表示されます。
  • サード・パーティーのパスワードである場合、ユーザーはパスワードを変更できず、「パスワード」および「パスワードの確認」フィールドはグレー表示になります。

  • サード・パーティーのパスワードが期限切れの場合、ユーザーのログイン・プロセス中に警告メッセージが表示されます。

OneCLI 機能を使用したハッシュド・パスワードの設定
  • 機能の有効化

    $ sudo OneCli config set IMM.ThirdPartyPassword Enabled

  • ハッシュド・パスワードの作成 (Salt なし) 次の例では、password123 パスワードを使用して、XClarity Controller にログインしています。

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

  • (Salt での) ハッシュド・パスワードによるユーザーの作成次の例では、password123 パスワードを使用して、XClarity Controller にログインしています。Salt=abc

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    $ sudo OneCli config set IMM.Loginid.3 Admin

    $ sudo OneCli config set IMM.SHA256Password.3 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 'abc'

  • ハッシュド・パスワードと salt の取得。

    $ sudo OneCli config set IMM.ThirdPartyPasswordReadable Enabled

    $ sudo OneCli config show IMM.SHA256Password.3

    $ sudo OneCli config show IMM.SHA256PasswordSalt.3

  • ハッシュド・パスワードと salt の削除。

    $ sudo OneCli config set IMM.SHA256Password.3 ""

    $ sudo OneCli config set IMM.SHA256PasswordSalt.3 ""

  • 既存のアカウントにハッシュド・パスワードを設定します。

    $ sudo OneCli config set IMM.Loginid.2 admin

    $ sudo OneCli config set IMM.Password.2 Passw0rd123abc

    $ sudo OneCli config set IMM.SHA256Password.2 $pwhash

    $ sudo OneCli config set IMM.SHA256PasswordSalt.2 ""

    ハッシュド・パスワードの設定時に、このパスワードは直ちに有効になります。元の標準パスワードは無効になります。この例では、ハッシュド・パスワードを削除するるまで、元の標準パスワード Passw0rd123abc は使用できなくなります。

CLI 機能を使用したハッシュド・パスワードの設定
  • 機能の有効化

    > hashpw -sw enabled

  • ハッシュド・パスワードの作成 (Salt なし) 次の例では、password123 パスワードを使用して、XClarity Controller にログインしています。

    $ pwhash = `echo -n password123 | openssl dgst -sha256 | awk '{print $NF}'`

    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    > users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

  • (Salt での) ハッシュド・パスワードによるユーザーの作成次の例では、password123 パスワードを使用して、XClarity Controller にログインしています。Salt=abc

    $ pwhash = `echo -n password123abc | openssl dgst -sha256 | awk '{print $NF}'`

    $ echo $pwhash 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee

    > users -3 -n Admin -shp 292bcbc41bb078cf5bd258db60b63a4b337c8c954409442cfad7148bc6428fee -ssalt 'abc' -a super

  • ハッシュド・パスワードと salt の取得。

    > hashpw -re enabled

    > users -3 -ghp -gsalt

  • ハッシュド・パスワードと salt の削除。

    > users -3 -shp "" -ssalt ""

  • 既存のアカウントにハッシュド・パスワードを設定します。

    > users -2 -n admin -p Passw0rd123abc -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super

    ハッシュド・パスワードの設定時に、このパスワードは直ちに有効になります。元の標準パスワードは無効になります。この例では、ハッシュド・パスワードを削除するるまで、元の標準パスワード Passw0rd123abc は使用できなくなります。

ハッシュド・パスワードを設定した後、XClarity Controller へのログインにはこのパスワードを使用しないことに注意してください。ログイン時には、プレーン・テキストのパスワードを使用する必要があります。以下の例では、プレーン・テキスト・パスワードは「password123」です。

$ pwhash = ‘echo —n password123 | openssl dgst —sha256 | awk '{print $NF}'’

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

> users -2 -n admin -shp 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -a super