Para hosts ESXi, você deve usar uma senha com requisitos predefinidos. Você pode alterar o comprimento necessário e o requisito de classe de caracteres ou permitir frases secretas usando a opção avançada Security.PasswordQualityControl. Você também pode definir o número de senhas a serem lembradas para cada usuário usando a opção avançada Security.PasswordHistory.

Observação: Os requisitos padrão para ESXi senhas podem mudar de uma versão para a próxima. Você pode verificar e alterar as restrições de senha padrão usando a opção avançada Security.PasswordQualityControl.

ESXi Senhas

O ESXi impõe requisitos de senha para acesso a partir da interface de usuário do console direto, do ESXi Shell, do SSH ou do VMware Host Client.

  • Por padrão, você deve incluir uma combinação de pelo menos três das quatro classes de caracteres a seguir: letras minúsculas, letras maiúsculas, números e caracteres especiais, como sublinhado ou traço, ao criar uma senha.
  • Por padrão, o comprimento da senha é de pelo menos 7 caracteres e menos de 40.
  • As senhas não devem conter uma palavra do dicionário ou parte de uma palavra do dicionário.
Observação: Um caractere maiúsculo que inicia uma senha não conta para o número de classes de caracteres usadas. Um número que encerra uma senha não conta para o número de classes de caracteres usadas. Uma palavra de dicionário usada dentro de uma senha reduz a força geral da senha.

Exemplo de ESXi senhas

Os candidatos a senha a seguir ilustram possíveis senhas se a opção for definida da seguinte maneira. 
retry=3 min=disabled,disabled,disabled,7,7
Com essa configuração, um usuário é solicitado até três vezes (nova tentativa = 3) para uma nova senha que não é suficientemente forte ou se a senha não foi inserida corretamente duas vezes. Senhas com uma ou duas classes de caracteres e frases secretas não são permitidas, pois os três primeiros itens estão desativados. As senhas de classes de três e quatro caracteres exigem sete caracteres. Consulte a página do manual do pam_passwdqc para obter detalhes sobre outras opções, como max, passphrase e assim por diante.
Com essas configurações, as seguintes senhas são permitidas.
  • xQaTEhb!: Contém oito caracteres de três classes de caracteres.
  • xQaT3 # A: contém sete caracteres de quatro classes de caracteres.
Os candidatos a senha a seguir não atendem aos requisitos.
  • Xqat3hi: começa com um caractere maiúsculo, reduzindo o número efetivo de classes de caracteres para duas. O número mínimo de classes de caracteres necessárias é três.
  • xQaTEh2: termina com um número, reduzindo o número efetivo de classes de caracteres para dois. O número mínimo de classes de caracteres necessárias é três.

Frase de acesso do ESXi

Em vez de uma senha, você também pode usar uma frase secreta. No entanto, as frases secretas estão desativadas por padrão. Você pode alterar a configuração padrão e outras configurações usando a opção avançada Security.PasswordQualityControl do vSphere Client.

Por exemplo, você pode alterar a opção para o seguinte. 

retry=3 min=disabled,disabled,16,7,7

Este exemplo permite frases secretas de pelo menos 16 caracteres e pelo menos três palavras.

Para hosts legados, a alteração do arquivo /etc/pam.d/passwd ainda é compatível, mas a alteração do arquivo está obsoleta para versões futuras. Use a opção avançada Security.PasswordQualityControl.

Alterar restrições de senha padrão

Você pode alterar a restrição padrão em senhas ou frases secretas usando a opção avançada Security.PasswordQualityControl para o seu host do ESXi. Consulte a documentação do vCenter Server e Gerenciamento de Host para obter informações sobre a configuração de ESXi opções avançadas.

Você pode alterar o padrão, por exemplo, para exigir um mínimo de 15 caracteres e um número mínimo de quatro palavras ( passphrase=4), da seguinte maneira: 
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Consulte a página de manual de pam_passwdqc para obter detalhes.
Observação: Nem todas as combinações possíveis de opções de senha foram testadas. Realize o teste depois de alterar as configurações de senha padrão.

Este exemplo define o requisito de complexidade de senha para exigir oito caracteres de quatro classes de caracteres que impõem uma diferença significativa de senha, um histórico de cinco senhas lembrado e uma política de rotação de 90 dias:

min=disabled,disabled,disabled,disabled,8 similar=deny

Defina a opção Security.PasswordHistory como 5 e a opção Security.PasswordMaxDays como 90.

ESXi Comportamento de bloqueio de conta

O bloqueio de conta tem suporte para acesso por meio de SSH e por meio do vSphere Web Services SDK. O Direct Console Interface (DCUI) e o ESXi Shell não oferecem suporte ao bloqueio de conta. Por padrão, são permitidas no máximo cinco tentativas com falha antes que a conta seja bloqueada. A conta é desbloqueada após 15 minutos por padrão.

Configurando o comportamento de login

Você pode configurar o comportamento de login para o host do ESXi com as seguintes opções avançadas:
  • Security.AccountLockFailures. Número máximo de tentativas de login com falha antes que a conta de um usuário seja bloqueada. Zero desativa o bloqueio de conta.
  • Security.AccountUnlockTime. Número de segundos que um usuário fica bloqueado.
  • Security.PasswordHistory. Número de senhas a serem lembradas para cada usuário. Zero desativa o histórico de senhas.

Consulte a documentação do vCenter Server e Gerenciamento de Host para obter informações sobre a configuração de ESXi opções avançadas.