PowerProtect DP Series : Stockage de protection : Data Domain : Chemin de résolution du compte de responsable de la sécurité

Que signifie « responsable de la sécurité » ?

• Un utilisateur du rôle de sécurité, également appelé responsable de la sécurité, peut gérer d'autres responsables de la sécurité, autoriser les procédures qui nécessitent l'approbation du responsable de la sécurité, assurer la surveillance de la destruction des données et effectuer toutes les tâches prises en charge pour les utilisateurs du rôle de sécurité.
• Le rôle de sécurité est fourni pour se conformer à la réglementation WORM (Write-Once-Read-Many). Cette réglementation exige que les données de société stockées par voie électronique soient conservées dans leur état d'origine à différentes fins, telles que la découverte électronique, l'audit et la journalisation.
• Dans un scénario classique, un utilisateur du rôle d'administrateur émet une commande et, si l'approbation du responsable de la sécurité est requise, le système affiche une invite d'approbation. Le responsable de la sécurité doit saisir son nom d'utilisateur et son mot de passe sur la console sur laquelle la commande a été exécutée pour poursuivre la tâche d'origine.
• Si le système reconnaît les informations d'identification du responsable de la sécurité, la procédure est autorisée. Dans le cas contraire, une alerte de sécurité est générée. 

Objectif :
en raison des réglementations de conformité, la plupart des options de commande pour administrer les opérations sensibles nécessitent des informations d'identification et une autorisation du responsable de la sécurité.

Voici quelques exemples :

• Les informations d'identification sont requises pour passer en mode SE (plusieurs opérations peuvent être effectuées en mode SE uniquement, notamment les modifications de registre). Pour en savoir plus sur les commandes du mode SE, consultez la rubrique Application de bureau Solve.)
• Cryptage
• Verrou de conservation
• Phrase secrète du système 
• Activation de FIPS
• Destruction du système de fichiers
• Destruction du niveau de cloud, etc.

Pour en savoir plus sur les opérations nécessitant des informations d'identification de sécurité, consultez le Guide d'administration de DD OS du système d'exploitation correspondant à partir de Application de bureau Solve.


Créer un responsable de la sécurité :

• Pour créer le premier compte de responsable de la sécurité (SO), suivez l'article de la base de connaissances Dell 198128 ci-dessous pour créer le compte à partir d'ACM :

PowerProtect DP Series : Stockage de protection : Alerte : un compte de responsable de la sécurité doit être créé

Instructions :

• Si le responsable de la sécurité est créé directement à partir de Data Domain et non à partir d'ACM, l'autorisation de sécurité n'est pas activée automatiquement.
• Pour activer la stratégie d'autorisation, un responsable de la sécurité doit ouvrir une session SSH sur Data Domain ou s'y connecter, et activer la stratégie d'autorisation comme indiqué ci-dessous.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Une fois le premier responsable de la sécurité créé, seul un responsable de la sécurité peut créer un autre compte de responsable de la sécurité.

En cas de problèmes avec le compte du responsable de la sécurité :

• Si l'utilisateur responsable de la sécurité existe, mais ne parvient pas à se connecter en raison d'un compte d'utilisateur de sécurité verrouillé ou d'un mot de passe perdu, oublié ou expiré, suivez les étapes ci-après, dans l'ordre.

 

Option 1 :

Connectez-vous à DDR avec un compte d'utilisateur disposant de privilèges d'administrateur tels que « sysadmin », et exécutez la commande ci-dessous pour connaître d'abord le nom d'utilisateur du rôle de sécurité approprié :

# user show list

 

Ouvrez une autre session SSH sur Data Domain et connectez-vous à l'aide de l'utilisateur responsable de la sécurité (SO). Si le mot de passe a expiré, vous êtes automatiquement invité à définir un nouveau mot de passe.

 

Option 2 :

Si ce n'est pas le cas, vous pouvez tenter de vous connecter à l'aide d'un mot de passe par défaut ou commun pour IDPA.
Si ce dernier a été défini lors de la création de l'utilisateur responsable de la sécurité, tout doit fonctionner comme prévu.
Remarque : à partir d'IDPA 2.7, il est vivement conseillé de ne pas définir le mot de passe du responsable de la sécurité comme mot de passe commun. Vous pouvez toutefois tenter la procédure précédente dans les versions antérieures.

 

Option 3 :

Si le problème persiste, vérifiez s'il existe un autre utilisateur responsable de la sécurité dans le résultat de la commande « user show list » exécutée précédemment. Seul un autre utilisateur de sécurité, s'il existe, est autorisé à modifier ou à déverrouiller le compte de responsable de la sécurité verrouillé.

S'il existe un autre compte de responsable de la sécurité, procédez comme suit selon les besoins :

• Si vous devez modifier le mot de passe :

Connectez-vous ou ouvrez une session SSH sur Data Domain à l'aide de ce deuxième nom d'utilisateur SO et utilisez la commande ci-dessous pour modifier le mot de passe :

# user change password [< SO username>]

 

• Si vous devez déverrouiller uniquement le compte :

Remarque :

• le compte d'utilisateur du responsable de la sécurité est verrouillé après trois tentatives de connexion infructueuses, conformément au STIG.
• Une fois le compte d'utilisateur responsable de la sécurité verrouillé, l'utilisateur DOIT attendre le délai de déverrouillage (120 secondes par défaut) avant de se connecter à nouveau.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Important : protégez les informations d'identification du responsable de la sécurité et modifiez le mot de passe avant qu'il n'expire, car seul un autre responsable de la sécurité (s'il existe) est autorisé à modifier ou à réinitialiser un compte de responsable de la sécurité. Seul un responsable de la sécurité existant peut créer un autre compte de responsable de la sécurité.