您可以通过 API 和 CLI 查看或自定义身份验证策略设置。

有些详细信息对于了解如何查看或更改策略设置至关重要。
  • 此功能仅允许使用一个密码策略。
  • 对密码配置的更改会立即影响新用户。管理员更新现有用户密码配置后,当前用户必须遵循更新后的密码配置更改。
  • API 配置更改大约需要 20 秒才能生效。
  • 对于 NSX Edge,不会在集群间同步更改的密码。CLI 和 API 更改会同时显示在一个节点中。
  • 设备传输节点支持包括 BCG、自治 Edge 或 Unified Appliance (UA)。在 ESX 中,不支持更改本地管理员或审核员用户的传输节点密码配置。
  • 特权访问管理 (Privileged Access Management, PAM) 支持设置最小密码长度或最大密码长度,但不支持同时设置两者。
  • 密码条目使用负数设置最小范围,使用正数设置最大范围。要保留现有默认值,请将响应留空。
  • 如果在升级前进行了修改,现有用户的密码策略配置在升级后保持不变。在这种情况下,NSX Manager 不会强制执行默认密码策略。
  • 身份验证策略
    [API] /api/v1/node/aaa/auth-policy
    [API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
    [API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager 支持以下 CLI 和 API 密码复杂性和身份验证命令。这些密码策略选项现在可以在管理集群节点间同步。查看密码详细信息不需要任何权限。修改现有密码默认设置需要管理员权限。

有关默认范围的详细信息和其他详细信息,请参见NSX 命令行界面参考NSX API 指南

表 1. CLI 密码策略可自定义选项
密码选项 CLI 命令
查看或配置密码复杂性配置
get password-complexity
Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module
set password-complexity

可以使用以下参数更改特定参数:

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):        
查看身份验证策略
get auth-policy cli 
lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
配置身份验证策略
set auth-policy cli
 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
表 2. API 密码策略可自定义选项
密码选项 API 命令
查看密码复杂性和授权策略
get /api/v1/node/aaa/auth-policy 
{
 "_retry_prompt": 3,
 "_schema": "AuthenticationPolicyProperties",
 "_self": {
     "href": "/node/aaa/auth-policy",
     "rel": "self"
  },
 "api_failed_auth_lockout_period": 5,
 "api_failed_auth_reset_period": 900,
 "api_max_auth_failures": 900,
 "cli_failed_auth_lockout_period": 900,
 "cli_max_auth_failures": 5,
 "digits": -1,
 "hash_algorithm": "sha512",
 "lower_chars": -1,
 "max_repeats": 0,
 "max_sequence": 0,
 "maximum_password_length": 128,
 "minimum_password_length": 12,
 "minimum_unique_chars": 0,
 "password_remembrance": 0,
 "special_chars": -1,
 "upper_chars": -1
}
查看 VMware Identity Manager (vIDM) 授权策略
get auth-policy vidm
Wed Jun 08 2022 UTC 12:58:28.357
LB Enabled: False
Enabled: False
Hostname:
Thumbprint:
Client Id:
Node Hostname:
配置 vIDM 授权策略
set auth-policy vidm
enabled  Enabled property
 hostname  System’s network name
 lb-extern External Load Balancer Flag For vIDM Wiring
配置密码复杂性和授权策略
  • API 失败授权尝试锁定时间段(以秒为单位)
put /api/v1/node/aaa/auth-policy
lockout_period <lockout-period-arg>
  • 身份验证失败锁定重置期
lockout_reset_period
  • API 锁定之前允许的失败次数
max_auth_failures
  • 数字字符数
digits
  • 哈希算法
hash_algorithm
  • 小写字符数
lower_chars
  • 相同字符序列
max_repeats
  • 最大单调字符序列数 (1234 或 DCBA)
max_sequence
  • 最大密码长度
maximum_password_length
  • 最小密码长度
minimum_password_length
  • 最少唯一字符数
minimum_unique_chars
  • 最小密码重用次数
password_remembrance
  • 如果为 0,则会禁止检查之前的密码,并且用户可以重用之前的任何密码。这是默认值。
  • 如果输入一个数字,用户将无法重用之前的密码数量。例如,如果设置为 2,则用户不能重用最近的两个密码。
  • 特殊字符数
special_chars
  • 大写字符数
upper_chars
重置密码复杂性和/或身份验证策略 对于节点、传输节点和集群:
reset-password-complexity 
reset-auth-policies
reset-all