PowerProtect série DP: Armazenamento de proteção: Data Domain: Caminho de resolução de contas de diretor de segurança

O que é um diretor de segurança?

• Um usuário com a função de segurança, que também é chamado de diretor de segurança, pode gerenciar outros diretores de segurança, autorizar procedimentos que exigem aprovação do diretor de segurança, supervisionar a destruição de dados e executar todas as tarefas compatíveis com os usuários que tenham a função de segurança.
• A função de segurança é concedida para cumprir a norma Write-Once-Read-Many (WORM). Essa norma exige que os dados corporativos armazenados eletronicamente sejam mantidos em um estado original e inalterado para fins, como detecção eletrônica, auditoria e registro.
• Em um cenário típico, um usuário com a função de administrador emite um comando e, se a aprovação do diretor de segurança for necessária, o sistema exibirá um prompt para aprovação. O diretor de segurança precisa digitar o nome de usuário e a senha no mesmo console em que o comando foi executado para poder prosseguir com a tarefa original.
• Se o sistema reconhecer as credenciais do diretor de segurança, o procedimento será autorizado. Caso contrário, um alerta de segurança será gerado. 

Finalidade:
Devido às normas de conformidade, a maioria das opções de comando para administrar operações confidenciais exigem credenciais e autorização do Diretor de Segurança (SO).

Veja abaixo alguns exemplos:

• As credenciais do SO são obrigatórias para entrar no modo SE (há várias operações que só podem ser realizadas no modo SE, como alterações no registro. Para obter mais detalhes sobre os comandos do modo SE, consulte Solve Desktop.)
• Criptografia
• Retention Lock
• Frase secreta do sistema 
• Ativação do FIPS
• Destruição do file system
• Destruição do nível da nuvem e assim por diante

Para obter mais detalhes sobre as operações que exigem credenciais de segurança, consulte o Guia de administração do DD OS para o respectivo sistema operacional, em Solve Desktop.


Como criar um diretor de segurança:

• Para criar uma conta de Diretor de Segurança (SO) pela primeira vez, consulte o artigo 198128 da KB Dell abaixo para criar a conta a partir do ACM:

PowerProtect série DP: Armazenamento de proteção: Alerta: A conta de usuário do diretor de segurança precisa ser criada.

Diretrizes:

• Se o diretor de segurança for criado diretamente pelo Data Domain, e não a partir do ACM, a autorização de segurança não será habilitada de forma automática.
• Para habilitar a política de autorização, um diretor de segurança precisa fazer login ou acessar o SSH no Data Domain e habilitar a política de autorização, conforme especificado abaixo.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Depois que o primeiro diretor de segurança for criado, somente um diretor de segurança poderá criar outra conta com essa função.

Problemas na conta de diretor de segurança:

• Nos casos em que há um usuário com a função de diretor de segurança que não consegue fazer login porque a conta de usuário de segurança foi bloqueada ou a senha expirou, foi perdida ou esquecida, as etapas abaixo precisam ser executadas na sequência.

 

Opção 1:

Faça login no DDR com uma conta de usuário com privilégios de administrador, como "sysadmin", e execute o comando abaixo para primeiro saber o nome de usuário correto da função de segurança:

# user show list

 

Abra outra sessão SSH para o Data Domain e faça login com o usuário Diretor de Segurança (SO). Se a senha tiver expirado, a definição de uma nova senha será automaticamente solicitada.

 

Opção 2:

Se a opção acima não der certo para o seu caso, tente fazer login usando uma senha padrão ou comum para o IDPA.
Se esse foi o login definido durante a criação do usuário com a função de diretor de segurança, ele funcionará.
Nota: No IDPA 2.7, há um requisito rígido para não definir a senha do diretor de segurança com a senha comum. No entanto, é possível tentar a opção acima nas versões anteriores.

 

Opção 3:

Se o problema persistir, verifique se existe algum outro usuário com a função de diretor de segurança no resultado do comando "user show list", que foi executado anteriormente. Somente outro usuário de segurança, se houver, tem permissão para alterar ou desbloquear a conta de diretor de segurança bloqueada.

Se houver outra conta do Diretor de Segurança (SO), realize o seguinte procedimento, de acordo com o requisito:

• Se o requisito for alterar a senha:

Faça login ou acesse o SSH no Data Domain usando o segundo nome de usuário do SO e use o comando abaixo para alterar a senha:

# user change password [< SO username>]

 

• Se o requisito for apenas desbloquear a conta:

Nota:

• A conta de usuário do diretor de segurança é bloqueada após três tentativas de login com falha. Isso está em conformidade com o STIG.
• Depois que a conta de usuário do diretor de segurança estiver bloqueada, o usuário PRECISARÁ aguardar até que o limite do tempo de espera para desbloqueio seja atingido (padrão de 120 segundos) para que ele possa fazer login novamente.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Importante: Mantenha as credenciais do diretor de segurança protegidas e altere a senha antes que ela expire, pois apenas outro diretor de segurança (se houver) tem permissão para alterar ou redefinir uma conta com essa função. Somente um diretor de segurança existente pode criar outra conta de diretor de segurança.