PowerProtect DP 系列：保護儲存裝置：Data Domain：安全人員帳戶解決方案路徑

什麼是安全人員？

• 具有安全性角色的使用者 (可被稱為安全人員) 可以管理其他安全人員、授權需要安全人員核准的程序、提供資料銷毀監督，以及執行所有支援安全性角色使用者的工作。
• 安全性角色遵守一次寫入多次讀取 (WORM) 規範。本法規要求以電子方式儲存的企業資料必須保持在未變更的原始狀態，以供電子探索、稽核和記錄等目的使用。
• 在一般情況下，管理員角色使用者會發出命令，如果需要安全人員核准，系統會顯示要求核准的提示。安全人員必須在執行命令的同一個主控台上輸入使用者名稱和密碼，才能繼續執行原始工作。
• 如果系統識別安全人員的登入資料，則該程序即獲授權。如果沒有，系統會產生安全性警示。 

• SO 的登入資料必須進入 SE 模式 (有多個作業只能在 SE 模式下執行，例如登錄檔變更。如需 SE 模式命令的詳細資料，請參閱 Solve Desktop。)
• 加密
• Retention Lock
• 系統密碼片語 
• 啟用 FIPS
• 銷毀檔案系統
• 雲端階層銷毀等

• 若要建立第一個安全人員 (SO) 帳戶，請遵循以下 Dell KB 文章 198128 以從 ACM 建立帳戶：

PowerProtect DP 系列：保護儲存裝置：警示：必須建立安全人員使用者帳戶。

指南：

• 如果安全人員是直接從 Data Domain 建立，而不是從 ACM 建立，則不會自動啟用安全性授權。
• 若要啟用授權原則，安全人員必須登入或透過 SSH 登入 Data Domain，並啟用以下授權原則。

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• 第一個安全人員建立後，只有安全人員可以建立另一個安全人員帳戶。

安全人員帳戶發生問題：

• 在安全人員使用者存在，但因安全性使用者帳戶被鎖定或密碼遺失、忘記或到期而無法登入的情況下，必須依序嘗試下列步驟。

選項 1：

使用具有管理員權限 (例如「sysadmin」) 的使用者帳戶登入 DDR，然後執行以下命令，以先知道正確的安全性角色使用者名稱：

# user show list

將另一個 SSH 工作階段開啟至 Data Domain，然後使用安全人員 (SO) 使用者登入；如果密碼已到期，系統會自動要求設定新密碼。

選項 2：

若情況並非如此，您可以嘗試使用預設密碼或 IDPA 的通用密碼登入。
如果這是在建立安全人員使用者時所設定的，則可正常運作。
注意：從 IDPA 2.7，很難要求不要將安全人員密碼設定為與一般密碼相同。不過，可以針對先前的版本嘗試使用上述內容。

選項 3：

如果問題仍然存在，請從先前執行的「user show list」命令輸出，確認是否有任何其他安全人員使用者存在。只有另一位安全性使用者 (如果存在的話) 有權變更或解除鎖定已鎖定的安全人員帳戶。

如果有另一位安全人員 (SO) 帳戶存在，請根據要求執行下列步驟：

• 如果要求是變更密碼：

使用該第二個 SO 使用者名稱登入或 SSH 至 Data Domain，並使用以下命令變更密碼：

# user change password [< SO username>]

• 如果要求僅是解除鎖定帳戶：

注意：

• 在三次嘗試登入失敗後，安全人員使用者帳戶會被鎖定。這符合 STIG 規定。
• 一旦安全人員使用者帳戶被鎖定，使用者必須等待解除鎖定逾時 (預設 120 秒) 以再次登入。

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

• 重要：請確保安全人員登入資料的安全性，並在到期前變更密碼，因為只有另一位安全人員 (若有) 有權變更或重設安全人員帳戶。只有現有的安全人員才能建立另一個安全人員帳戶。