PowerProtect DPシリーズ:保護ストレージ:警告: 「Security officer user account must be created」
Summary: メッセージ「Alert: Security officer user account must be created.」を、IDPAをバージョン2.7にアップグレードした後に受信します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
IDPAを2.7にアップグレードした後、保護ストレージに関する以下のアラートが表示される場合があります。
Current Alerts -------------- Id Post Time Severity Class Object Message ----- ------------------------ -------- -------- ------ ------------------------------------------------------------------ m0-21 Mon Mar 22 08:54:24 2021 CRITICAL Security EVT-SECURITY-00029: Security officer user account must be created. ----- ------------------------ -------- -------- ------ ------------------------------------------------------------------ There is 1 active alert
Cause
このアラートは、DDOS 7.5.x以降で導入された新しいセキュリティ コンプライアンス監査が原因で表示されます。これらのDDOSバージョンでは、セキュリティ担当者ユーザー アカウントが存在しない場合は、セキュリティ担当者ユーザー アカウントの作成を求めるプロンプトが表示されます。
IDPA 2.7にはDDOS 7.6があるため、セキュリティ担当者ユーザー アカウントが存在しないシステムでのアップグレード後にこのアラートが表示されます。
メモ:DDOS 7.5以降で強化されたセキュリティ強化では、次のような影響力のあるコマンドを実行する前に、DD Admin権限に加えて、セキュリティ担当者ユーザーの権限の要件が含まれています。
IDPA 2.7にはDDOS 7.6があるため、セキュリティ担当者ユーザー アカウントが存在しないシステムでのアップグレード後にこのアラートが表示されます。
メモ:DDOS 7.5以降で強化されたセキュリティ強化では、次のような影響力のあるコマンドを実行する前に、DD Admin権限に加えて、セキュリティ担当者ユーザーの権限の要件が含まれています。
- ファイル システムの破棄
- クラウド階層の破棄
- GCサニタイズ
Resolution
セキュリティ担当者ユーザー アカウントを作成すると、このアラートは自動的にクリアされます。
最初のセキュリティ担当者ユーザー アカウントを作成するには、次の手順を実行します。
- ACMにログインします。
- [Protection Storage component]までスクロールし、そのギア アイコンをクリックします。
- [Create First Security Officer]をクリックし、ユーザー名とパスワードの条件を確認してからこのアカウントを作成します。
- [Input new security Username and password]まで下にスクロールします。
注:前述の手順に従って最初のセキュリティ担当者ユーザー アカウントがACMから作成されると、セキュリティ認証も自動的に有効になります。
- セキュリティ担当者ユーザーが作成されると、AAHは新しく作成されたセキュリティ担当者の認証情報を使用してData Domainにアクセスし、同じであることを次のように確認します。
Sec_Officer01@dd4400> authorization policy show Runtime authorization policy is enabled
- セキュリティ担当者ユーザー パスワードは、デフォルトのパスワード エージングに従って90日ごとに期限切れになります。パスワード エージングは、要件に応じて以下のように確認および変更できます。
Sec_Officer01@dd4400> user password aging show User Password Minimum Days Maximum Days Warn Days Disable Days Status Last Changed Between Change Between Change Before Expire After Expire ----------------- ------------ -------------- -------------- ------------- ------------ -------- Sec_Officer01 Apr 07, 2022 0 90 7 never enabled sysadmin Mar 25, 2022 0 99999 7 never enabled ----------------- ------------ -------------- -------------- ------------- ------------ --------
例:
セキュリティ ユーザーのパスワード エージングをデフォルトの90日ではなく120日に設定するには、次のコマンドを使用します。
Sec_Officer01@dd4400> user password aging set Sec_Officer01 max-days-between-change 120
メモ:
期限切れまたはロックされたセキュリティ担当者アカウントを変更またはリセットする権限を持つのは別のセキュリティ担当者(存在する場合)のみなので、セキュリティ認証情報を安全に保ち有効期限が切れる前にパスワードを変更することが重要です。別のセキュリティ担当者アカウントを作成できるのは、既存のセキュリティ担当者のみです。
Affected Products
Data Domain, Integrated Data Protection Appliance FamilyArticle Properties
Article Number: 000198128
Article Type: Solution
Last Modified: 14 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.