PowerProtect DP Series : Stockage de protection : Alerte : un compte de responsable de la sécurité doit être créé

L'alerte ci-dessous peut s'afficher sur le stockage de protection après la mise à niveau d'IDPA vers la version 2.7 :

Cette alerte s'affiche en raison d'un nouvel audit de conformité de la sécurité introduit dans DDOS 7.5.x et versions supérieures. Dans ces versions de DDOS, le système vous invite à créer un compte de responsable de la sécurité, si ce n'est déjà fait.

Comme IDPA 2.7 dispose de DDOS 7.6, cette alerte s'affiche après la mise à niveau sur les systèmes qui ne disposent pas d'aucun compte de responsable de la sécurité.

Remarque : le renforcement de la sécurité appliqué dans DDOS 7.5 ou version supérieure impose de disposer d'une autorisation de responsable de la sécurité en plus de l'autorisation DD Admin avant de pouvoir exécuter des commandes qui ont des conséquences lourdes, telles que :

• Destruction du système de fichiers
• Destruction du niveau Cloud
• Nettoyage du GC

Une fois le compte de responsable de la sécurité créé, l'alerte s'efface automatiquement.

Pour créer le premier compte de responsable de la sécurité :

1. Connectez-vous à ACM. 
2. Faites défiler jusqu'à Protection Storage component, puis cliquez sur l'icône en forme d'engrenage.
3. Cliquez sur Create First Security Officer et vérifiez les critères relatifs au nom d'utilisateur et au mot de passe avant de créer le compte.
4. Faites défiler vers le bas jusqu'à l'option Input New Security Username and Password.

Remarque : lorsque vous créez le premier compte de responsable de la sécurité à partir d'ACM conformément aux étapes ci-dessus, l'autorisation de sécurité est automatiquement activée.

1. Une fois l'utilisateur responsable de la sécurité créé, connectez-vous en SSH à Data Domain à l'aide des informations d'identification du responsable de la sécurité que vous venez de créer pour vérifier les points suivants :

Sec_Officer01@dd4400> authorization policy show
Runtime authorization policy is enabled

2. Le mot de passe du responsable de la sécurité expire tous les 90 jours en fonction de l'ancienneté du mot de passe par défaut. L'ancienneté du mot de passe peut être vérifiée et modifiée si besoin comme indiqué ci-dessous :

Sec_Officer01@dd4400> user password aging show

User                Password       Minimum Days     Maximum Days     Warn Days       Disable Days   Status
                    Last Changed   Between Change   Between Change   Before Expire   After Expire
-----------------   ------------   --------------   --------------   -------------   ------------   --------

Sec_Officer01       Apr 07, 2022   0                90               7               never          enabled

sysadmin            Mar 25, 2022   0                99999            7               never          enabled
-----------------   ------------   --------------   --------------   -------------   ------------   --------

 

Exemple :
Pour définir l'ancienneté du mot de passe de l'utilisateur de sécurité sur 120 jours au lieu de 90 jours par défaut, utilisez la commande ci-dessous :

Sec_Officer01@dd4400> user password aging set Sec_Officer01 max-days-between-change 120

 

Remarque :
il est important de protéger les informations d'identification de sécurité et de modifier le mot de passe avant qu'il n'expire, car seul un autre responsable de la sécurité (s'il existe) a l'autorisation de modifier ou de réinitialiser un compte de responsable de la sécurité qui a expiré ou a été verrouillé. Seul un responsable de la sécurité existant peut créer un autre compte de responsable de la sécurité.