PowerProtect DP 系列：保护存储：Data Domain：安全专员帐户解析路径

什么是安全专员？

• 安全角色用户（可称为安全专员）可以管理其他安全专员、授权需要安全专员批准的程序、提供数据销毁监督，以及执行对安全角色用户支持的所有任务。
• 安全角色的提供旨在遵守“一次写入多次读取 (WORM)”法规。本法规要求以电子方式存储的企业数据保持在未更改的原始状态，以用于电子发现、审核和日志记录等目的。
• 在典型情况下，管理员角色用户发出命令，如果需要安全专员批准，系统将显示批准提示。安全专员必须在运行命令的同一控制台上输入其用户名和密码，以继续执行原始任务。
• 如果系统识别安全专员凭据，则此过程将获得授权。否则，将生成安全警报。 

• 进入 SE 模式需要 SO 凭据（有多个操作只能在 SE 模式下执行，例如注册表更改。有关 SE 模式命令的更多详细信息，请参阅 Solve Desktop。）
• 加密
• 保留锁定
• 系统密码 
• 启用 FIPS
• 文件系统销毁
• 云层销毁等

• 要创建第一个安全专员 (SO) 帐户，请按照以下戴尔知识库文章 198128 中所述从 ACM 创建帐户：

PowerProtect DP 系列：保护存储：警报：必须创建安全专员用户帐户。

准则：

• 如果安全专员直接从 Data Domain 创建，而不是从 ACM 创建，则不会自动启用安全授权。
• 要启用授权策略，安全专员必须登录或使用 SSH 连接到 Data Domain，并启用如下所示的授权策略。

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• 创建第一个安全专员后，只有一个安全专员可以创建其他安全专员帐户。

遇到安全专员帐户问题：

• 如果安全专员用户存在，但由于安全用户帐户锁定或密码丢失、忘记或过期而无法登录，则必须按顺序尝试以下步骤。

选项 1：

使用具有“sysadmin”等管理员权限的用户帐户登录 DDR，然后运行以下命令，首先了解正确的安全角色用户名：

# user show list

打开另一个与 Data Domain 的 SSH 会话，并通过安全专员 (SO) 用户登录，如果密码已过期，它会自动要求设置新密码。

选项 2：

如果上述情况并非如此，则可以尝试使用 IDPA 的默认密码或通用密码登录。
如果这是在创建安全专员用户时设置的，则它将正常工作。
注意：从 IDPA 2.7 开始，硬性要求不要将安全专员密码设置为与通用密码相同。但是，对于较早的版本，可以尝试上述操作。

选项 3：

如果问题仍然存在，请从之前运行的“user show list”命令的输出中验证是否存在任何其他安全专员用户。只有另一个安全用户（如果存在）才有权更改或解锁锁定的安全专员帐户。

如果存在另一个安全专员 (SO) 帐户，请根据要求执行以下操作：

• 如果要求更改密码：

使用第二个 SO 用户名登录或通过 SSH 连接至 Data Domain，然后使用以下命令更改密码：

# user change password [< SO username>]

• 如果要求仅解锁帐户：

提醒：

• 安全专员用户帐户在三次登录尝试失败后锁定。这符合 STIG 的要求。
• 安全专员用户帐户锁定后，用户必须等待解锁超时（默认值 120 秒），才能再次登录。

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

• 重要提示：确保安全专员凭据安全，并在密码过期之前更改密码，因为只有另一名安全专员（如果有）有权更改或重置安全专员帐户。只有现有安全专员才能创建另一个安全专员帐户。