Para hosts ESXi, você deve usar uma senha com requisitos predefinidos. Você pode alterar o comprimento necessário e o requisito de classe de caracteres ou permitir frases secretas usando a opção avançada Security.PasswordQualityControl. Você também pode definir o número de senhas a serem lembradas para cada usuário usando a opção avançada Security.PasswordHistory.
ESXi Senhas
O ESXi impõe requisitos de senha para acesso a partir da interface de usuário do console direto, do ESXi Shell, do SSH ou do VMware Host Client.
- Por padrão, você deve incluir uma combinação de pelo menos três das quatro classes de caracteres a seguir: letras minúsculas, letras maiúsculas, números e caracteres especiais, como sublinhado ou traço, ao criar uma senha.
- Por padrão, o comprimento da senha é de pelo menos 7 caracteres e menos de 40.
- As senhas não devem conter uma palavra do dicionário ou parte de uma palavra do dicionário.
Exemplo de ESXi senhas
retry=3 min=disabled,disabled,disabled,7,7Com essa configuração, um usuário é solicitado até três vezes (nova tentativa = 3) para uma nova senha que não é suficientemente forte ou se a senha não foi inserida corretamente duas vezes. Senhas com uma ou duas classes de caracteres e frases secretas não são permitidas, pois os três primeiros itens estão desativados. As senhas de classes de três e quatro caracteres exigem sete caracteres. Consulte a página do manual do pam_passwdqc para obter detalhes sobre outras opções, como max, passphrase e assim por diante.
- xQaTEhb!: Contém oito caracteres de três classes de caracteres.
- xQaT3 # A: contém sete caracteres de quatro classes de caracteres.
- Xqat3hi: começa com um caractere maiúsculo, reduzindo o número efetivo de classes de caracteres para duas. O número mínimo de classes de caracteres necessárias é três.
- xQaTEh2: termina com um número, reduzindo o número efetivo de classes de caracteres para dois. O número mínimo de classes de caracteres necessárias é três.
Frase de acesso do ESXi
Em vez de uma senha, você também pode usar uma frase secreta. No entanto, as frases secretas estão desativadas por padrão. Você pode alterar a configuração padrão e outras configurações usando a opção avançada Security.PasswordQualityControl do vSphere Client.
Por exemplo, você pode alterar a opção para o seguinte.
retry=3 min=disabled,disabled,16,7,7
Este exemplo permite frases secretas de pelo menos 16 caracteres e pelo menos três palavras.
Para hosts legados, a alteração do arquivo /etc/pam.d/passwd ainda é compatível, mas a alteração do arquivo está obsoleta para versões futuras. Use a opção avançada Security.PasswordQualityControl.
Alterar restrições de senha padrão
Você pode alterar a restrição padrão em senhas ou frases secretas usando a opção avançada Security.PasswordQualityControl para o seu host do ESXi. Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre a configuração de ESXi opções avançadas.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Consulte a página de manual de pam_passwdqc para obter detalhes.
Este exemplo define o requisito de complexidade de senha para exigir oito caracteres de quatro classes de caracteres que impõem uma diferença significativa de senha, um histórico de cinco senhas lembrado e uma política de rotação de 90 dias:
min=disabled,disabled,disabled,disabled,8 similar=deny
Defina a opção Security.PasswordHistory como 5 e a opção Security.PasswordMaxDays como 90.
ESXi Comportamento de bloqueio de conta
O bloqueio de conta tem suporte para acesso por meio de SSH e por meio do vSphere Web Services SDK. O Direct Console Interface (DCUI) e o ESXi Shell não oferecem suporte ao bloqueio de conta. Por padrão, são permitidas no máximo cinco tentativas com falha antes que a conta seja bloqueada. A conta é desbloqueada após 15 minutos por padrão.
Configurando o comportamento de login
- Security.AccountLockFailures. Número máximo de tentativas de login com falha antes que a conta de um usuário seja bloqueada. Zero desativa o bloqueio de conta.
- Security.AccountUnlockTime. Número de segundos que um usuário fica bloqueado.
- Security.PasswordHistory. Número de senhas a serem lembradas para cada usuário. Zero desativa o histórico de senhas.
Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre a configuração de ESXi opções avançadas.