PowerProtect DPシリーズ:保護ストレージ:Data Domain:Security Officerアカウントに関する解決パス
Summary: PowerProtect DPシリーズ:保護ストレージまたはData Domain:Security Officerアカウントに関する解決パス
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Security Officerとは
- Security Officerと呼ばれるセキュリティ ロール ユーザーは、他のSecurity Officerの管理、Security Officerによる承認が必要な手順の承認、データ破壊の監視、セキュリティ ロール ユーザーに対してサポートされているすべてのタスクの実行を行うことができます。
- セキュリティ ロールは、Write-Once-Read-Many (WORM)規制に準拠するために提供されます。この規制では、e-Discovery、監査、ログ記録などの目的で、電子的に保存された企業データを変更のない元の状態に保つ必要があります。
- 一般的なシナリオでは、管理者ロール ユーザーがコマンドを発行し、Security Officerによる承認が必要な場合は、承認を求めるプロンプトが表示されます。Security Officerは、元のタスクを続行するためにコマンドを実行したのと同じコンソールにユーザー名とパスワードを入力する必要があります。
- システムがSecurity Officerの認証情報を認識すると、手順が認証されます。そうでない場合は、セキュリティ アラートが生成されます。
目的:
コンプライアンス規制により、機密性の高い操作を管理するためのほとんどのコマンド オプションには、Security Officer (SO)の認証情報と認証が必要です。
以下に、その例をいくつか示します。
- SEモードに移行するには、SOの認証情報が必要です(レジストリーの変更など、SEモードでのみ実行できる複数の操作があります。SEモード コマンドの詳細については、「Solve Desktop」を参照してください)。
- 暗号化
- Retention Lock
- システム パスフレーズ
- FIPSの有効化
- ファイルシステムの破棄
- クラウド階層の破棄など
Security Officerを作成する方法:
- 最初のSecurity Officer (SO)アカウントを作成するには、次のDell KB記事198128に従って、アカウントをACMから作成します。
PowerProtect DPシリーズ:保護ストレージ:警告: Security officer user account must be created」
ガイドライン:
- Security OfficerがACMからではなくData Domainから直接作成された場合、セキュリティ認証は自動的に有効になりません。
- 認証ポリシーを有効にするには、Security OfficerはData DomainにログインまたはSSH接続し、次のように認証ポリシーを有効にする必要があります。
Sec_Officer01@dd4400>authorization policy show Sec_Officer01@dd4400>authorization policy set security-officer enabled Sec_Officer01@dd4400>authorization policy show
- 最初のSecurity Officerが作成された後は、Security Officerのみが別のSecurity Officerアカウントを作成できます。
Security Officerアカウントの問題:
- Security Officerユーザーは存在するが、セキュリティ ユーザー アカウントがロックされている、またはパスワードを紛失、忘れた、期限が切れたことによりログインできない場合は、次の手順を順番に試行する必要があります。
オプション1:
まず、「sysadmin」などの管理者権限を持つユーザー アカウントでDDRにログインし、次のコマンドを実行して、正しいセキュリティ ロールのユーザー名を確認します。
# user show list
Data Domainへの別のSSHセッションを開き、Security Officer (SO)ユーザーを使用してログインします。パスワードの有効期限が切れている場合は、自動的に新しいパスワードの設定を求められます。
オプション2:
前掲以外の場合は、IDPAのデフォルトまたは共通のパスワードを使用してログインを試みてください。
それがSecurity Officerユーザーの作成中に設定されたものである場合は、機能するはずです。
メモ:IDPA 2.7以降、Security Officerのパスワードを共通パスワードと同じに設定してはならいないという厳しい要件があります。ただし、前述については以前のリリースで試行できます。
オプション3:
問題が解決しない場合は、以前に実行した「user show list」コマンドの出力から他のSecurity Officerユーザーが存在するかどうかを確認します。ロックされたSecurity Officerアカウントを変更またはロック解除する権限を持っているのは、他のセキュリティ ユーザーのみです(存在する場合)。
他のSecurity Officer (SO)アカウントが存在する場合は、要件に従って以下の操作を行います。
- パスワードを変更する必要がある場合:
2番目のSOユーザー名を使用してData DomainにログインまたはSSH接続し、次のコマンドを使用してパスワードを変更します。
# user change password [< SO username>]
- アカウントのロック解除のみを行う必要がある場合:
ログイン試行に失敗した回数が多すぎるためにアカウントがロックされた場合は、Dellサポートにお問い合わせください。
注:
- Security Officerユーザー アカウントは、ログイン試行に3回失敗するとロックされます。これは、STIGに準拠しています。
- Security Officerユーザー アカウントがロックされたら、再度ログインするには、タイムアウトが解除されるのを待つ必要があります(デフォルトは120秒)。
sysadmin@DD# adminaccess option show Option Value -------------------- -------- login-unlock-timeout 120 login-max-attempts 3 .. ….. -------------------- --------
- 重要:Security Officerの認証情報を安全に保ち、パスワードの有効期限が切れる前に変更してください。これは、別のSecurity Officer(既存の場合)のみがSecurity Officerアカウントを変更またはリセットする権限を持つためです。別のSecurity Officerアカウントを作成できるのは、既存のSecurity Officerのみです。
Affected Products
Data Domain, PowerProtect Data Protection ApplianceArticle Properties
Article Number: 000198715
Article Type: How To
Last Modified: 04 Feb 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.