身份验证策略设置

您可以通过 API 和 CLI 查看或自定义身份验证策略设置。

有些详细信息对于了解如何查看或更改策略设置至关重要。

此功能仅允许使用一个密码策略。
对密码配置的更改会立即影响新用户。管理员更新现有用户密码配置后，当前用户必须遵循更新后的密码配置更改。
API 配置更改大约需要 20 秒才能生效。
对于 NSX Edge，不会在集群间同步更改的密码。CLI 和 API 更改会同时显示在一个节点中。
设备传输节点支持包括 BCG、自治 Edge 或 Unified Appliance (UA)。在 ESX 中，不支持更改本地管理员或审核员用户的传输节点密码配置。
特权访问管理 (Privileged Access Management, PAM) 支持设置最小密码长度或最大密码长度，但不支持同时设置两者。
密码条目使用负数设置最小范围，使用正数设置最大范围。要保留现有默认值，请将响应留空。
如果在升级前进行了修改，现有用户的密码策略配置在升级后保持不变。在这种情况下，NSX Manager 不会强制执行默认密码策略。

身份验证策略

[API] /api/v1/node/aaa/auth-policy

[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy

[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager 支持以下 CLI 和 API 密码复杂性和身份验证命令。这些密码策略选项现在可以在管理集群节点间同步。查看密码详细信息不需要任何权限。修改现有密码默认设置需要管理员权限。

有关默认范围的详细信息和其他详细信息，请参见NSX 命令行界面参考和NSX API 指南。

表 1. CLI 密码策略可自定义选项
密码选项	CLI 命令
查看或配置密码复杂性配置	get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity 可以使用以下参数更改特定参数： Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change):
查看身份验证策略	get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout
配置身份验证策略	set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout

表 1. CLI 密码策略可自定义选项

密码选项

CLI 命令

查看或配置密码复杂性配置

get password-complexity

Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module

set password-complexity

可以使用以下参数更改特定参数：

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):

查看身份验证策略

get auth-policy cli

lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

配置身份验证策略

set auth-policy cli

 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

表 2. API 密码策略可自定义选项
密码选项	API 命令
查看密码复杂性和授权策略	get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 }
查看 VMware Identity Manager (vIDM) 授权策略	get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname:
配置 vIDM 授权策略	set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring
配置密码复杂性和授权策略 API 失败授权尝试锁定时间段（以秒为单位）	put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg>
身份验证失败锁定重置期	lockout_reset_period
API 锁定之前允许的失败次数	max_auth_failures
数字字符数	digits
哈希算法	hash_algorithm
小写字符数	lower_chars
相同字符序列	max_repeats
最大单调字符序列数 (1234 或 DCBA)	max_sequence
最大密码长度	maximum_password_length
最小密码长度	minimum_password_length
最少唯一字符数	minimum_unique_chars
最小密码重用次数	password_remembrance 如果为 0，则会禁止检查之前的密码，并且用户可以重用之前的任何密码。这是默认值。如果输入一个数字，用户将无法重用之前的密码数量。例如，如果设置为 2，则用户不能重用最近的两个密码。
特殊字符数	special_chars
大写字符数	upper_chars
重置密码复杂性和/或身份验证策略	对于节点、传输节点和集群： reset-password-complexity reset-auth-policies reset-all