PowerProtect DP-serien: Protection Storage: Data Domain: Security Officer Bane for kontooppløsning

Summary: PowerProtect DP-serien: Beskyttelseslagring eller datadomene: Security Officer Bane for kontooppløsning

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hva er sikkerhetsansvarlig?

  • En sikkerhetsrollebruker, som kan omtales som en sikkerhetsansvarlig, kan administrere andre sikkerhetsansvarlige, autorisere prosedyrer som krever godkjenning av sikkerhetsansvarlig, gi tilsyn med datadestruksjon og utføre alle oppgaver som støttes for sikkerhetsrollebrukere.
  • Sikkerhetsrollen leveres for å overholde Forskrift om å skrive en gang les-mange (WORM). Denne forskriften krever at elektronisk lagrede bedriftsdata holdes i en uendret, opprinnelig tilstand for formål som e-Discovery, revisjon og logging.
  • I et typisk scenario utsteder en administratorrollebruker en kommando, og hvis godkjenning av sikkerhetsansvarlig kreves, viser systemet en ledetekst for godkjenning. Sikkerhetsansvarlig må angi brukernavn og passord på samme konsoll som kommandoen ble kjørt på, for å fortsette med den opprinnelige oppgaven.
  • Hvis systemet gjenkjenner påloggingsinformasjonen for sikkerhetsansvarlig, er prosedyren autorisert. Hvis ikke, genereres et sikkerhetsvarsel. 

Formål:
På grunn av overholdelsesforskrifter krever de fleste kommandoalternativer for å administrere sensitive operasjoner legitimasjon og autorisasjon for sikkerhetsansvarlig (SO).

Nedenfor er noen eksempler på det samme:
  • SO-legitimasjon kreves for å komme inn i SE-modus (Det er flere operasjoner som bare kan utføres i SE-modus, for eksempel registerendringer. Hvis du vil ha mer informasjon om kommandoer i SE-modus, kan du se Løs skrivebordet.)
  • Kryptering
  • Oppbevaringslås
  • Systempassord 
  • Aktivere FIPS
  • Filesystem Destroy
  • Cloud Tier Destroy, og så videre
Hvis du vil ha mer informasjon om operasjoner som krever sikkerhetslegitimasjon, kan du se administrasjonsveiledningen for DD OS for det respektive operativsystemet fra Solve Desktop.


Hvordan lage Security Officer:
  • Hvis du vil opprette den første Security Officer-kontoen (SO), følger du Dell KB-artikkelen nedenfor 198128 du får kontoen opprettet fra ACM:

PowerProtect DP-serien: Protection Storage: Varsel: Brukerkonto for sikkerhetsansvarlig må opprettes.


Retningslinjer:

  • Hvis Security Officer opprettes fra Data Domain direkte og ikke fra ACM, aktiveres ikke sikkerhetsautorisasjon automatisk.
  • For å aktivere autorisasjonspolicyen må en sikkerhetsansvarlig logge på eller SSH på Data Domain og aktivere autorisasjonspolicyen som nedenfor.
Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show
  • Etter at den første sikkerhetsansvarlige er opprettet, kan bare en sikkerhetsansvarlig opprette en annen Security Officer-konto.


Har du problemer med Security Officer-kontoen:

  • I tilfeller der Security Officer-brukeren finnes, men ikke kan logge på på grunn av sikkerhetsbrukerkontoen som er låst eller passordet som er tapt, glemt eller utløpt, må trinnene nedenfor forsøkes i rekkefølge.

 

Alternativ 1:

Logg på DDR med en brukerkonto som har administratorrettigheter, for eksempel "sysadmin", og kjør kommandoen nedenfor for å finne riktig brukernavn for sikkerhetsrolle først:

# user show list

 

Åpne en annen SSH-økt til Data Domain og logg inn ved hjelp av Security Officer (SO) bruker, hvis passordet er utløpt, ber det automatisk om å angi et nytt passord.

 

Alternativ 2:

Hvis det ikke er tilfelle ovenfor, kan du prøve å logge på med et standardpassord eller et vanlig passord for IDPA.
Hvis det er det som ble angitt under opprettelsen av Security Officer-brukeren, ville det fungere.
Notat: Fra IDPA 2.7 er det harde krav om ikke å angi et passord for sikkerhetsansvarlig på samme måte som vanlig passord. Ovennevnte kan imidlertid forsøkes for tidligere utgivelser.

 

Alternativ 3:

Hvis problemet vedvarer, kontrollerer du om det finnes en annen Security Officer-bruker fra utdataene fra kommandoen "user show list" som ble kjørt tidligere. Bare en annen sikkerhetsbruker, hvis den finnes, har tillatelse til å endre eller låse opp den låste Security Officer-kontoen.

Hvis det finnes en annen konto for sikkerhetsansvarlig (SO), gjør du følgende i henhold til kravet:

  • Hvis behovet er å endre passord:

Logg på eller SSH til Data Domain ved hjelp av det andre SO-brukernavnet, og bruk kommandoen nedenfor for å endre passord:

# user change password [< SO username>]

 

  • Hvis behovet bare er å låse opp kontoen:
Kontakt Dells kundestøtte hvis kontoen er låst på grunn av for mange mislykkede påloggingsforsøk. 

Merk:

  • Brukerkontoen til Security Officer er låst etter tre mislykkede påloggingsforsøk. Dette er i samsvar med STIG.
  • Når brukerkontoen til Security Officer er låst, MÅ brukeren vente til timeout for opplåsing (standard 120 sekunder) for å logge på igjen.
sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

  • Viktig: Hold påloggingsinformasjonen til sikkerhetsansvarlig trygg og endre passordet før det utløper, da bare en annen sikkerhetsansvarlig (hvis eksisterende) har tillatelse til å endre eller tilbakestille en Security Officer-konto. Bare en eksisterende sikkerhetsansvarlig kan opprette en annen Security Officer-konto.

Affected Products

Data Domain, PowerProtect Data Protection Appliance
Article Properties
Article Number: 000198715
Article Type: How To
Last Modified: 04 Feb 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.