PowerProtect DP Series: Protection Storage: Data Domain: 보안 책임자 계정 해결 경로

Summary: PowerProtect DP Series: Protection Storage 또는 Data Domain: 보안 책임자 계정 해결 경로

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

보안 책임자의 정의

  • 보안 책임자라고도 하는 보안 역할 사용자는 다른 보안 책임자를 관리하고, 보안 책임자 승인이 필요한 절차를 승인하고, 데이터 삭제를 감독하고, 보안 역할 사용자에게 지원되는 모든 작업을 수행할 수 있습니다.
  • 보안 역할은 WORM(Write-Once-Read-Many) 규정을 준수하도록 제공됩니다. 이 규정은 e-Discovery, 감사 및 로깅과 같은 목적을 위해 전자적으로 저장된 기업 데이터를 변경되지 않은 원래 상태로 보관하도록 요구합니다.
  • 일반적인 시나리오에서 관리자 역할 사용자는 명령을 실행하고 보안 책임자의 승인이 필요한 경우 시스템은 승인 여부를 묻는 메시지를 표시합니다. 보안 책임자는 원래 작업을 진행하기 위해 명령이 실행된 동일한 콘솔에서 사용자 이름과 비밀번호를 입력해야 합니다.
  • 시스템이 보안 책임자 자격 증명을 인식하면 절차가 승인됩니다. 그렇지 않으면 보안 알림이 생성됩니다. 

목적:
규정 준수 규정으로 인해 중요한 작업을 관리하기 위한 대부분의 명령 옵션에는 SO(Security Officer) 자격 증명 및 승인이 필요합니다.

아래는 동일한 몇 가지 예입니다.
  • SE 모드로 전환하려면 SO 자격 증명이 필요합니다. 레지스트리 변경과 같이 SE 모드에서만 수행할 수 있는 여러 작업이 있습니다. SE 모드 명령에 대한 자세한 내용은 SolVe 데스크탑을 참조하십시오.
  • 암호화
  • Retention Lock
  • 시스템 비밀번호 문구 
  • FIPS 활성화
  • 파일 시스템 제거
  • 클라우드 계층 제거 등
보안 자격 증명이 필요한 작업에 대한 자세한 내용은 SolVe 데스크탑에서 해당 운영 체제의 DD OS 관리 가이드를 참조하십시오.


보안 책임자 생성 방법:
  • 첫 번째 SO(Security Officer) 계정을 만들려면 아래 Dell KB 문서 198128을 따라 ACM에서 계정을 만듭니다.

PowerProtect DP Series: Protection Storage: 알림: Security officer user account must be created.


지침:

  • 보안 책임자가 ACM이 아닌 Data Domain에서 직접 생성된 경우 보안 인증이 자동으로 활성화되지 않습니다.
  • 인증 정책을 활성화하려면 보안 책임자가 Data Domain에 로그인하거나 SSH를 통해 아래와 같이 인증 정책을 활성화해야 합니다.
Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show
  • 첫 번째 보안 책임자를 생성한 후에는 보안 책임자만 다른 보안 책임자 계정을 만들 수 있습니다.


보안 책임자 계정에 문제가 있는 경우:

  • 보안 책임자 사용자가 존재하지만 보안 사용자 계정이 잠겨 있거나 비밀번호를 분실하거나 잊었거나 만료되어 로그인할 수 없는 경우 아래 단계를 순서대로 시도해야 합니다.

 

옵션 1:

"sysadmin"과 같은 관리자 권한이 있는 사용자 계정으로 DDR에 로그인하고 아래 명령을 실행하여 먼저 올바른 보안 역할 사용자 이름을 확인합니다.

# user show list

 

Data Domain에 대한 다른 SSH 세션을 열고 SO(Security Officer) 사용자를 사용하여 로그인합니다. 비밀번호가 만료된 경우 새 비밀번호를 설정하라는 메시지가 자동으로 표시됩니다.

 

옵션 2:

위와 같은 경우가 아니면 IDPA에 대한 기본 비밀번호 또는 일반 비밀번호를 사용하여 로그인을 시도할 수 있습니다.
보안 책임자 사용자를 생성하면서 설정된 값이면 작동할 것입니다.
참고: IDPA 2.7부터는 보안 책임자 비밀번호를 일반 비밀번호와 동일하게 설정하지 않아야 합니다. 그러나 이전 릴리스에서는 위 내용을 시도할 수 있습니다.

 

옵션 3:

문제가 지속되면 이전에 실행한 "user show list" 명령의 출력에 다른 보안 책임자 사용자가 있는지 확인합니다. 다른 보안 사용자(있는 경우)만 잠긴 보안 책임자 계정을 변경하거나 잠금 해제할 수 있는 권한이 있습니다.

다른 SO(Security Officer) 계정이 있는 경우 요구 사항에 따라 다음을 수행합니다.

  • 비밀번호를 변경해야 하는 경우:

두 번째 SO 사용자 이름을 사용하여 Data Domain에 로그인하거나 SSH를 통해 아래 명령을 사용하여 비밀번호를 변경합니다.

# user change password [< SO username>]

 

  • 계정 잠금 해제만 필요한 경우:
로그인 시도 실패 횟수가 너무 많아 계정이 잠긴 경우 Dell 지원 부서에 문의하십시오. 

참고:

  • 로그인 시도가 세 번 실패하면 보안 책임자 사용자 계정이 잠깁니다. 이는 STIG를 준수합니다.
  • 보안 책임자 사용자 계정이 잠기면 사용자는 잠금 해제 시간 초과(기본값: 120초)를 기다렸다가 다시 로그인해야 합니다.
sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

  • 중요: 보안 책임자 계정을 변경하거나 재설정할 수 있는 권한은 다른 보안 책임자(존재하는 경우)에게만 있으므로 보안 책임자 자격 증명을 안전하게 유지하고 비밀번호가 만료되기 전에 비밀번호를 변경하십시오. 기존 보안 책임자만 다른 보안 책임자 계정을 만들 수 있습니다.

Affected Products

Data Domain, PowerProtect Data Protection Appliance
Article Properties
Article Number: 000198715
Article Type: How To
Last Modified: 04 Feb 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.