As políticas vCenter Single Sign-On impõem as regras de segurança para contas locais e tokens em geral. Você pode visualizar e editar a política de senha padrão vCenter Single Sign-On, a política de bloqueio e a política de token.

Editar a política de senha vCenter Single Sign-On

A política de senha vCenter Single Sign-On determina o formato e a expiração da senha. A política de senha se aplica somente a usuários no domínio vCenter Single Sign-On (vsphere.local).

Por padrão, as senhas de contas de usuário internas do vCenter Single Sign-On expiram após 90 dias. O vSphere Client lembra você quando sua senha está prestes a expirar.

Consulte Alterar sua senha do vCenter Single Sign-On.
Observação: A conta de administrador ([email protected]) não é bloqueada nem sua senha expira. A prática de segurança adequada é auditar os logins dessa conta e alternar a senha regularmente.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a interface do usuário de configuração.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Configuração (Configuration).
  4. Clique na guia Contas Locais.
  5. Clique em Editar (Edit) para a linha Política de senha.
  6. Edite a política de senha.
    Opção Descrição
    Descrição Descrição da política de senha.
    Vida útil máxima Número máximo de dias em que uma senha é válida antes que o usuário precise alterá-la. O número máximo de dias que você pode inserir é 999999999. Um valor de zero (0) significa que a senha nunca expira.
    Restringir a reutilização Número de senhas anteriores que não podem ser reutilizadas. Por exemplo, se você digitar 6, o usuário não poderá reutilizar nenhuma das últimas seis senhas.
    Comprimento máximo Número máximo de caracteres permitidos na senha.
    Comprimento mínimo Número mínimo de caracteres necessários na senha. O comprimento mínimo não deve ser menor que o mínimo combinado de requisitos alfabéticos, numéricos e de caracteres especiais.
    Requisitos de caractere
    Número mínimo de tipos de caracteres diferentes que são necessários na senha. Você pode especificar o número de cada tipo de caractere da seguinte maneira:
    • Especial: & # %
    • Alfabética: A b c D
    • Maiúsculas: A B C
    • Minúsculas: a b c
    • Numérico: 1 2 3
    • Adjacente idêntico: o número deve ser maior que 0. Por exemplo, se você digitar 1, a seguinte senha não será permitida: p@$$word.

    O número mínimo de caracteres alfabéticos não deve ser menor que os caracteres combinados de maiúsculas e minúsculas.

    Caracteres não ASCII são suportados em senhas. Em versões anteriores do vCenter Single Sign-On, existem limitações nos caracteres suportados.

  7. Clique em Salvar (Save).

Editar a política de bloqueio vCenter Single Sign-On

Se um usuário tentar fazer login com credenciais incorretas, uma política de bloqueio vCenter Single Sign-On especificará quando a conta vCenter Single Sign-On do usuário será bloqueada. Os administradores podem editar a política de bloqueio.

Se um usuário fizer login no vsphere.local várias vezes com a senha errada, o usuário será bloqueado. A política de bloqueio permite que os administradores especifiquem o número máximo de tentativas de logon com falha e definam o intervalo de tempo entre as falhas. A política também especifica quanto tempo deve decorrer antes que a conta seja desbloqueada automaticamente.
Observação: A política de bloqueio se aplica apenas a contas de usuário, não a contas do sistema, como [email protected].

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a interface do usuário de configuração.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Configuração (Configuration).
  4. Clique na guia Contas Locais.
  5. Clique em Editar (Edit) para a linha Política de bloqueio.
    Talvez seja necessário rolar para baixo para ver a linha Política de bloqueio.
  6. Edite os parâmetros.
    Opção Descrição
    Descrição (Description) Descrição opcional da política de bloqueio.
    Número máximo de tentativas de login com falha (Maximum number of failed login attempts) Número máximo de tentativas de logon com falha que são permitidas antes que a conta seja bloqueada.
    Intervalo de tempo entre falhas (Time interval between failures ) Período de tempo no qual as tentativas de logon com falha devem ocorrer para acionar um bloqueio.
    Hora de desbloqueio (Unlock time) Quantidade de tempo que a conta permanece bloqueada. Se você digitar 0, o administrador deverá desbloquear a conta explicitamente.
  7. Clique em Salvar (Save).

Editar a política de token vCenter Single Sign-On

A política de token vCenter Single Sign-On especifica propriedades de token, como a tolerância do relógio e a contagem de renovação. Você pode editar a política de token para garantir que a especificação do token esteja em conformidade com os padrões de segurança da sua empresa.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a interface do usuário de configuração.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Configuração (Configuration).
  4. Clique na guia Contas Locais.
  5. Clique em Editar (Edit) para a linha Confiabilidade do token.
    Talvez seja necessário rolar para baixo para ver a linha Confiabilidade do token.
  6. Edite os parâmetros de configuração da política de token.
    Opção Descrição
    Tolerância do relógio Diferença de tempo, em milissegundos, que vCenter Single Sign-On tolera entre um relógio do cliente e o relógio do controlador de domínio. Se a diferença de horário for maior que o valor especificado, vCenter Single Sign-On declara o token inválido.
    Contagem máxima de renovação de token Número máximo de vezes que um token pode ser renovado. Após o número máximo de tentativas de renovação, é necessário um novo token de segurança.
    Contagem máxima de delegação de token Os tokens de detentor da chave podem ser delegados a serviços no ambiente vSphere. Um serviço que usa um token delegado executa o serviço em nome do principal que forneceu o token. Uma solicitação de token especifica uma identidade DelegateTo. O valor DelegateTo pode ser um token de solução ou uma referência a um token de solução. Esse valor especifica quantas vezes um único token do detentor da chave pode ser delegado.
    Vida útil máxima do token de portador Os tokens de portador fornecem autenticação com base apenas na posse do token. Os tokens de portador destinam-se ao uso em uma única operação de curto prazo. Um token de portador não verifica a identidade do usuário ou da entidade que está enviando a solicitação. Esse valor especifica o valor da vida útil de um token de portador antes que o token precise ser reemitido.
    Vida útil máxima do token do detentor da chave Os tokens de detentor da chave fornecem autenticação com base em artefatos de segurança incorporados no token. Os tokens de detentor da chave podem ser usados para delegação. Um cliente pode obter um token do detentor da chave e delegar esse token a outra entidade. O token contém as declarações para identificar o originador e o delegado. No ambiente vSphere, um sistema vCenter Server obtém tokens delegados em nome de um usuário e usa esses tokens para realizar operações.

    Esse valor determina o tempo de vida de um token do detentor da chave antes que o token seja marcado como inválido.

  7. Clique em Salvar (Save).

Editar notificação de expiração de senha para usuários do Active Directory (autenticação Windows integrada)

A notificação de expiração de senha do Active Directory é separada da expiração da senha de SSO do vCenter Server. A notificação de expiração de senha padrão para um usuário Active Directory é de 30 dias, mas a expiração real da senha depende do seu sistema Active Directory. O vSphere Client controla a notificação de expiração. Você pode alterar a notificação de expiração padrão para atender aos padrões de segurança da sua empresa.

Pré-requisitos

Procedimento

  1. Faça login no shell vCenter Server como um usuário com privilégios de administrador.
    O usuário padrão com a função de superadministrador é root.
  2. Altere o diretório para o local do arquivo vSphere Client webclient.properties. 
    cd /etc/vmware/vsphere-ui
  3. Abra o arquivo webclient.properties com um editor de texto.
  4. Edite a variável a seguir. 
    sso.pending.password.expiration.notification.days = 30
  5. Reinicie o vSphere Client. 
    service-control --stop vsphere-ui
service-control --start vsphere-ui