PowerProtect DP -sarja: Protection Storage: Data Domain: Tietoturvavastaavan tilin selvityspolku

Summary: PowerProtect DP -sarja: Protection Storage tai Data Domain: Tietoturvavastaavan tilin selvityspolku

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Mikä on Security Officer?

  • Suojausroolin käyttäjä, jota voidaan nimittää Security Officeriksi, voi hallita muita Security Officer -rooleja, valtuuttaa Security Officerin hyväksyntää edellyttäviä toimenpiteitä, valvoa tietojen tuhoamista ja tehdä kaikkia käyttöoikeusroolin käyttäjien tukemia toimia.
  • Käyttöoikeusrooli on määritetty WORM (Write-Once-Read-Many) -asetuksen noudattamiseksi. Tämä asetus edellyttää, että sähköisesti tallennetut yritystiedot säilytetään muuttumattomassa, alkuperäisessä tilassa esimerkiksi e-Discovery, auditointi ja kirjaaminen.
  • Tyypillisessä tilanteessa järjestelmänvalvojan roolikäyttäjä antaa komennon, ja jos Security Officerin hyväksyntä vaaditaan, järjestelmä näyttää hyväksymiskehotteen. Jatkaakseen alkuperäistä tehtävää Security Officerin on annettava käyttäjätunnuksensa ja salasanansa samassa konsolissa, jossa komento suoritettiin.
  • Jos järjestelmä tunnistaa Security Officer -tunnistetiedot, menettely on valtuutettu. Jos näin ei ole, näyttöön tulee suojaushälytys. 

Tarkoitus:
Vaatimustenmukaisuusmääräysten vuoksi useimmat arkaluonteisten toimintojen hallintakomentovaihtoehdot edellyttävät Security Officer (SO) -tunnistetietoja ja valtuutusta.

Alla on muutamia esimerkkejä samasta:
  • SE-tilaan siirtyminen edellyttää tunnistetietoja (vain SE-tilassa voidaan suorittaa useita toimintoja, kuten rekisterimuutoksia). Lisätietoja SE-tilan komennoista on kohdassa Ratkaise työpöytä.)
  • Salaus
  • Säilytyksen lukitus
  • Järjestelmän tunnuslause 
  • FIPS:n ottaminen käyttöön
  • Tiedostojärjestelmän tuhoaminen
  • Cloud Tier Destroy ja niin edelleen
Lisätietoja suojaustunnistetietoja edellyttävistä toiminnoista on käyttöjärjestelmän DD OS Administration -oppaassa Solve Desktopissa.


Security Officerin luominen:
  • Voit luoda ensimmäisen Security Officer (SO) -tilin noudattamalla seuraavaa Dell KB -artikkelia, 198128 tili luodaan ACM:stä:

PowerProtect DP -sarja: Protection Storage: Hälytys: Security Officerin käyttäjätili on luotava.


Ohjeisto:

  • Jos Security Officer luodaan suoraan Data Domainista eikä ACM:stä, suojausvaltuutusta ei oteta automaattisesti käyttöön.
  • Jotta valtuutuskäytäntö voidaan ottaa käyttöön, Security Officerin on kirjauduttava sisään tai SSH:lla Data Domainiin ja otettava valtuutuskäytäntö käyttöön alla kuvatulla tavalla.
Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show
  • Kun ensimmäinen Security Officer on luotu, vain Security Officer voi luoda uuden Security Officer -tilin.


Ongelmia Security Officer -tilin kanssa:

  • Jos Security Officer -käyttäjä on olemassa, mutta ei pysty kirjautumaan sisään lukitun suojauskäyttäjätilin tai kadonneen, unohtuneen tai vanhentuneen salasanan vuoksi, alla olevia vaiheita on yritettävä suorittaa peräkkäin.

 

Vaihtoehto 1:

Kirjaudu DDR:ään käyttäjätilillä, jolla on järjestelmänvalvojan oikeudet, kuten sysadmin, ja suorita alla oleva komento, jotta tiedät ensin oikean käyttöoikeusroolin käyttäjänimen:

# user show list

 

Avaa toinen SSH-istunto Data Domainiin ja kirjaudu sisään Security Officer (SO) -käyttäjänä. Jos salasana on vanhentunut, se pyytää automaattisesti asettamaan uuden salasanan.

 

Vaihtoehto 2:

Jos edellä mainittu ei pidä paikkaansa, voit yrittää kirjautua sisään IDPA:n oletussalasanalla tai yleisellä salasanalla.
Jos tämä on määritetty luotaessa Security Officer -käyttäjää, se toimii.
Muistiinpano: IDPA 2.7 -versiossa on kova vaatimus olla asettamatta sSecurity Officerin salasanaa samalla tavalla kuin yleistä salasanaa. Edellä mainittua voidaan kuitenkin yrittää aiemmissa versioissa.

 

Vaihtoehto 3:

Jos ongelma jatkuu, tarkista aiemmin suoritetun "user show list" -komennon tuloksesta, onko joku muu Security Officer -käyttäjä. Vain toisella suojauskäyttäjällä, jos sellainen on, on oikeus muuttaa lukittua Security Officer -tiliä tai poistaa sen lukitus.

Jos toinen Security Officer (SO) -tili on olemassa, toimi seuraavasti vaatimusten mukaisesti:

  • Jos salasana on vaihdettava:

Kirjaudu sisään tai SSH:lla Data Domainiin käyttämällä toista SO-käyttäjänimeä ja vaihda salasana alla olevalla komennolla:

# user change password [< SO username>]

 

  • Jos vaatimus on avata tilin lukitus vain:
Ota yhteys Dell-tukeen, jos tili on lukittu liian monen epäonnistuneen kirjautumisyrityksen vuoksi. 

Huomautus:

  • Security Officer -käyttäjätili lukitaan kolmen epäonnistuneen kirjautumisyrityksen jälkeen. Tämä on STIG:n mukaista.
  • Kun Security Officer -käyttäjätili on lukittu, käyttäjän TÄYTYY odottaa lukituksen aikakatkaisua (oletus 120 sekuntia) kirjautuakseen uudelleen sisään.
sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

  • Tärkeää: Pidä Security Officerin tunnistetiedot turvassa ja vaihda salasana ennen kuin se vanhenee, koska vain toisella Security Officerilla (jos sellainen on) on oikeus muuttaa tai nollata Security Officerin tili. Vain olemassa oleva Security Officer voi luoda uuden Security Officer -tilin.

Affected Products

Data Domain, PowerProtect Data Protection Appliance
Article Properties
Article Number: 000198715
Article Type: How To
Last Modified: 04 Feb 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.