FSx for NetApp ONTAP の管理者パスワードは直近 6 回以内に使用したものを使いまわせない
2024.03.20コーヒーが好きな emi です。
FSx for NetApp ONTAP(以降、FSxN と省略)の管理者「fsxadmin」のパスワードを一時的に変更し、元のパスワードに戻したら接続ができない、という事象が発生しました。
タイトルがすべてなのですが、調べたところ ONTAP のパスワードは直近 6 回以内使用したものは再度使うことができないそうです。パスワードの変更自体はできてしまうのが躓きポイントだなと思いました。
- ユーザ名を含めることはできません
- 8 文字以上である必要があります
- アルファベットと数字がそれぞれ 1 文字以上含まれている必要があります
- 直近の 6 つのパスワードと同じパスワードは使用できません
シンプルにパスワード変更する
FSxN の管理者 fsxadmin のパスワード変更はコンソール画面から簡単にできます。ファイルシステムの画面で「管理」タブを開くと、パスワード変更ボタンがありますので、まずはシンプルにパスワード変更してみます。
パスワードとして Xu2CvhAY という文字列を入力し更新しました。
FSxN に fsxadmin ユーザーで SSH 接続してみます。
sh-5.2$ ssh fsxadmin@10.0.1.14 The authenticity of host '10.0.1.14 (10.0.1.14)' can't be established. ED25519 key fingerprint is SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXX. This key is not known by any other names Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '10.0.1.14' (ED25519) to the list of known hosts. (fsxadmin@10.0.1.14) Password: This is your first recorded login. Your privilege has changed since last login. FsxId096548e62d35f0e2b::>
初めてのログインだったので、接続を続行するかどうか確認されました。yes と入力し、SSH 接続できました。
ユーザー名を含めてみる
パスワードにユーザー名を含めてみます。
パスワードとして fsxadmin123test という文字列を入力し更新しようとすると、以下のエラーになりました。
Provided FsxAdminPassword is not valid. Passwords must be between 8 and 128 characters in length, must contain at least one English letter and one number, and must not contain the word 'admin’.
(機械翻訳)指定された FsxAdminPassword は無効です。パスワードの長さは8文字以上128文字以下で、少なくとも1つの英字と1つの数字を含まなければならず、'admin'という単語を含んではならない。
エラー文を見ると、「admin」という文字列が含まれていなければ良いようです。
今度は fsx123test という文字列を入力し更新しました。
エラーにならず更新できましたので、FSxN に fsxadmin ユーザーで SSH 接続してみます。
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: Last login time: 3/18/2024 04:53:12 FsxId096548e62d35f0e2b::>
接続できました。
厳密には「admin」という文字列が含まれるのがダメなようで、ユーザー名の一部が含まれるのは許容されるようです。
記号を入れてみる
今度はアルファベットと数字以外の記号を入れてみます。
パスワードとして wC3h7X!a という文字列を入力し更新しました。
FSxN に fsxadmin ユーザーで SSH 接続してみます。
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: Last login time: 3/18/2024 04:53:19 FsxId096548e62d35f0e2b::>
接続できました。記号が入るのは問題ないようです。
ONTAP のパスワードルールを設定する security login role config modify というコマンドもありました。
今回は試していないのですが、パスワード文字列の長さを 12 文字以上に設定したり、記号を必須に設定したり、有効期限を設定したりできるようです。
直近 6 回以内に使ったパスワードを再度設定する
では以前に設定したパスワード fsx123test をもう一度設定します。
エラーにならず更新できましたので、FSxN に fsxadmin ユーザーで SSH 接続してみます。
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: (fsxadmin@10.0.1.14) Password: (fsxadmin@10.0.1.14) Password: fsxadmin@10.0.1.14's password: Connection closed by 10.0.1.14 port 22 sh-5.2$
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: (fsxadmin@10.0.1.14) Password: (fsxadmin@10.0.1.14) Password: fsxadmin@10.0.1.14's password: Connection closed by 10.0.1.14 port 22 sh-5.2$
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: (fsxadmin@10.0.1.14) Password: (fsxadmin@10.0.1.14) Password: fsxadmin@10.0.1.14's password: Connection closed by 10.0.1.14 port 22 sh-5.2$
何回か接続試行しましたが、上記のように接続が閉じられてしまいました。
過去に使用したパスワードに 1 文字追加するのはどうでしょうか。
過去に使用したパスワードに 1 文字追加した fsx123test2 という文字列を入力し更新しました。
FSxN に fsxadmin ユーザーで SSH 接続してみます。
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: Last login time: 3/18/2024 05:02:47 FsxId096548e62d35f0e2b::>
接続できました。
過去に使用したパスワードを 1 文字変更するのはどうでしょうか。
過去に使用したパスワードを 1 文字変更した fsx123tesa という文字列を入力し更新しました。
FSxN に fsxadmin ユーザーで SSH 接続してみます。
sh-5.2$ ssh fsxadmin@10.0.1.14 (fsxadmin@10.0.1.14) Password: Last login time: 3/18/2024 05:03:12 FsxId096548e62d35f0e2b::>
接続できました。
おわりに
FSxN のパスワードは「直近 6 回以内に使用したものを使いまわせない」「admin という文字列を含めない」ことなどを確認しました。
どなたかのお役に立てば幸いです。
