PowerProtect serie DP: Protection storage: Data Domain: percorso di risoluzione per gli account Security Officer

Che cos'è un Security Officer?

• Un utente con ruolo Security, anche detto Security Officer, può gestire altri utenti Security Officer, autorizzare procedure che richiedono l'approvazione di un utente Security Officer e svolgere tutte le attività supportate per utenti con questo ruolo.
• Il ruolo Security viene fornito per garantire la conformità con la normativa WORM (Write-Once-Read-Many). Questa normativa richiede che i dati aziendali archiviati elettronicamente siano conservati in uno stato originale non modificato per vari scopi, tra cui e-discovery, verifica e registrazione.
• In uno scenario tipico, un utente con ruolo di amministratore emette un comando e, se è richiesta l'approvazione del Security Officer, il sistema visualizza un prompt per l'approvazione. Il Security Officer deve inserire il nome utente e la password sulla stessa console in cui è stato eseguito il comando per procedere con l'attività originale.
• Se il sistema riconosce le credenziali del Security Officer, la procedura è autorizzata. In caso contrario, viene generato un avviso di sicurezza. 

Scopo:
Per via delle normative di conformità, la maggior parte delle opzioni di comando per l'amministrazione delle operazioni sensibili richiede l'autorizzazione e le credenziali del Security Officer (SO).

Di seguito sono riportati alcuni esempi:

• Le credenziali dell'utente SO sono richieste per attivare la modalità SE (alcune operazioni possono essere eseguite solo in modalità SE, ad esempio le modifiche del Registro di sistema. Per maggiori dettagli sui comandi della modalità SE, consultare SolVe Desktop).
• Crittografia
• Retention Lock
• System Passphrase 
• Enabling FIPS
• Filesystem Destroy
• Cloud Tier Destroy e così via

Per ulteriori informazioni sulle operazioni che richiedono le credenziali di sicurezza, consultare il manuale DD OS Administration Guide per il rispettivo sistema operativo da SolVe Desktop.


Come creare un utente Security Officer:

• Seguire l'articolo 198128 della Knowledge Base di Dell di seguito per creare il primo account Security Officer (SO) tramite ACM:

PowerProtect serie DP: Protection storage: avviso Security officer user account must be created.

Linee guida:

• Se il Security Officer viene creato direttamente tramite Data Domain e non ACM, l'autorizzazione di sicurezza non viene abilitata automaticamente.
• Per abilitare la policy di autorizzazione, un Security Officer deve accedere o connettersi tramite SSH a Data Domain e abilitare la policy di autorizzazione come indicato di seguito.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Dopo la creazione del primo Security Officer, solo i Security Officer possono crearne altri.

Problemi con l'account Security Officer:

• Nei casi in cui un utente Security Officer non è in grado di effettuare l'accesso a causa di un account utente Security bloccato o di una password persa, dimenticata o scaduta, è necessario tentare le operazioni riportate di seguito in sequenza.

 

Opzione 1:

Accedere al DDR con un account utente con privilegi di amministratore, ad esempio "sysadmin", ed eseguire il comando riportato di seguito per conoscere prima il nome utente corretto del ruolo Security:

# user show list

 

Aprire un'altra sessione SSH per Data Domain e accedere utilizzando l'utente Security Officer (SO). Se la password è scaduta, viene richiesto automaticamente di impostarne una nuova.

 

Opzione 2:

Negli altri casi, è possibile tentare l'accesso utilizzando una password predefinita o comune per IDPA.
Se è stata impostato durante la creazione dell'utente Security Officer, funziona.
Nota: a partire da IDPA 2.7 non è possibile impostare per Security Officer una password comune. Tuttavia, questa operazione è consentita per le versioni precedenti.

 

Opzione 3:

Se il problema persiste, verificare se esiste un altro utente Security Officer dall'output del comando "user show list" eseguito in precedenza. Solo un altro utente Security, se esistente, dispone dell'autorizzazione per modificare o sbloccare l'account Security Officer bloccato.

Se esiste un altro account Security Officer (SO), procedere come segue in base alle esigenze:

• Se è necessario modificare la password:

Accedere o connettersi tramite SSH a Data Domain utilizzando il nome utente del secondo SO e il comando seguente per modificare la password:

# user change password [< SO username>]

 

• Se è sufficiente sbloccare l'account:

Nota:

• L'account utente Security Officer viene bloccato dopo tre tentativi di accesso non riusciti, conformemente allo standard STIG.
• Una volta bloccato l'account utente Security Officer, l'utente DEVE attendere il timeout di sblocco (impostazione predefinita di 120 secondi) per eseguire nuovamente l'accesso.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Importante: mantenere al sicuro le credenziali dell'utente Security Officer e modificare la password prima della scadenza, in quanto solo un altro utente Security Officer (se esistente) è autorizzato a modificare o reimpostare un account dello stesso tipo scaduto o bloccato. Solo un utente Security Officer esistente può crearne un altro.