Para hosts ESXi, você deve usar uma senha com requisitos predefinidos. Você pode alterar o comprimento necessário e o requisito de classe de caractere ou permitir frases secretas usando a configuração avançada do sistema Security.PasswordQualityControl. Você também pode definir o número de senhas a serem lembradas para cada usuário usando a configuração avançada do sistema Security.PasswordHistory.

Observação: Os requisitos padrão para as senhas do ESXi podem mudar de uma versão para outra. Você pode verificar e alterar as restrições de senha padrão usando a configuração avançada do sistema Security.PasswordQualityControl.

ESXi Senhas

ESXi impõe requisitos de senha para acesso da interface do usuário do console direto, do ESXi Shell, do SSH ou do VMware Host Client.

  • Por padrão, você deve incluir uma combinação de pelo menos três das quatro classes de caracteres a seguir: letras minúsculas, letras maiúsculas, números e caracteres especiais, como sublinhado ou traço, ao criar uma senha.
  • Por padrão, o comprimento da senha é de pelo menos 7 caracteres e menor que 40.
  • As senhas não devem conter uma palavra do dicionário ou parte de uma palavra do dicionário.
  • As senhas não devem conter o nome de usuário ou partes do nome de usuário.
Observação: Um caractere maiúsculo que inicia uma senha não conta para o número de classes de caracteres usadas. Um número que encerra uma senha não conta para o número de classes de caracteres usadas. Uma palavra de dicionário usada dentro de uma senha reduz a força geral da senha.

Exemplo de senhas do ESXi

Os candidatos a senha a seguir ilustram possíveis senhas se a opção for definida da seguinte maneira. 
retry=3 min=disabled,disabled,disabled,7,7
Com essa configuração, um usuário é solicitado até três vezes (retry=3) a fornecer uma nova senha que não seja suficientemente forte ou se a senha não tiver sido digitada corretamente duas vezes. Senhas com uma ou duas classes de caracteres e frases secretas não são permitidas, pois os três primeiros itens estão desativados. As senhas de classes de três e quatro caracteres requerem sete caracteres. Consulte a página man pam_passwdqc para obter detalhes sobre outras opções, como max, passphrase e assim por diante.
Com essas configurações, as seguintes senhas são permitidas.
  • xQaTEhb!: contém oito caracteres de três classes de caracteres.
  • xQaT3#A: Contém sete caracteres de quatro classes de caracteres.
Os seguintes candidatos a senha não atendem aos requisitos.
  • Xqat3hi: começa com um caractere maiúsculo, reduzindo o número efetivo de classes de caracteres para dois. O número mínimo de classes de caracteres necessárias é três.
  • xQaTEh2: termina com um número, reduzindo o número efetivo de classes de caracteres para dois. O número mínimo de classes de caracteres necessárias é três.

ESXi Senha

Em vez de uma senha, você também pode usar uma frase secreta. No entanto, as frases secretas são desativadas por padrão. Você pode alterar a configuração padrão e outras configurações usando a configuração avançada do sistema Security.PasswordQualityControl do vSphere Client.

Por exemplo, você pode alterar a opção para o seguinte. 

retry=3 min=disabled,disabled,16,7,7

Este exemplo permite frases secretas de pelo menos 16 caracteres e pelo menos três palavras.

Para hosts herdados, a alteração do arquivo /etc/pam.d/passwd ainda é compatível, mas a alteração do arquivo está obsoleta para versões futuras. Em vez disso, use a configuração avançada do sistema Security.PasswordQualityControl.

Alterando as restrições de senha padrão

Você pode alterar a restrição padrão de senhas ou frases secretas usando a configuração avançada do sistema Security.PasswordQualityControl para seu host ESXi. Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre como alterar as configurações avançadas do sistema ESXi.

Você pode alterar o padrão, por exemplo, para exigir um mínimo de 15 caracteres e um número mínimo de quatro palavras ( passphrase=4), da seguinte maneira: 
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Consulte a página man de pam_passwdqc para obter detalhes.
Observação: Nem todas as combinações possíveis de opções de senha foram testadas. Realize o teste depois de alterar as configurações de senha padrão.

Este exemplo define o requisito de complexidade da senha para exigir oito caracteres de quatro classes de caracteres que impõem uma diferença significativa de senha, um histórico lembrado de cinco senhas e uma política de rotação de 90 dias:

min=disabled,disabled,disabled,disabled,8 similar=deny

ESXi Comportamento de bloqueio de conta

O bloqueio de conta é compatível com o acesso por meio de SSH e por meio do vSphere Web Services SDK. A Interface do Console Direto (DCUI) e o ESXi Shell não oferecem suporte ao bloqueio de conta. Por padrão, são permitidas no máximo cinco tentativas com falha antes que a conta seja bloqueada. A conta é desbloqueada após 15 minutos por padrão.

Configurando o comportamento de login

Você pode configurar o comportamento de login do seu host ESXi com as seguintes configurações avançadas do sistema:
  • Security.AccountLockFailures. Número máximo de tentativas de login com falha antes que a conta de um usuário seja bloqueada. Zero desativa o bloqueio de conta.
  • Security.AccountUnlockTime. Número de segundos em que um usuário está bloqueado.
  • Security.PasswordHistory. Número de senhas a serem lembradas para cada usuário. A partir do vSphere 8.0 Atualização 1, o padrão é cinco. Zero desativa o histórico de senhas.

Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre como configurar as opções avançadas do ESXi.