您可以通过 API 和 CLI 查看或自定义身份验证策略设置。
有些详细信息对于了解如何查看或更改策略设置至关重要。
- 此功能仅允许使用一个密码策略。
- 对密码配置的更改会立即影响新用户。管理员更新现有用户密码配置后,当前用户必须遵循更新后的密码配置更改。
- API 配置更改大约需要 20 秒才能生效。
- 对于 NSX Edge,不会在集群间同步更改的密码。CLI 和 API 更改会同时显示在一个节点中。
- 设备传输节点支持包括 BCG、自治 Edge 或 Unified Appliance (UA)。在 ESX 中,不支持更改本地管理员或审核员用户的传输节点密码配置。
- 特权访问管理 (Privileged Access Management, PAM) 支持设置最小密码长度或最大密码长度,但不支持同时设置两者。
- 密码条目使用负数设置最小范围,使用正数设置最大范围。要保留现有默认值,请将响应留空。
- 如果在升级前进行了修改,现有用户的密码策略配置在升级后保持不变。在这种情况下,NSX Manager 不会强制执行默认密码策略。
- 身份验证策略
[API] /api/v1/node/aaa/auth-policy
[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy
NSX Manager 支持以下 CLI 和 API 密码复杂性和身份验证命令。这些密码策略选项现在可以在管理集群节点间同步。查看密码详细信息不需要任何权限。修改现有密码默认设置需要管理员权限。
有关默认范围的详细信息和其他详细信息,请参见NSX 命令行界面参考和NSX API 指南。
密码选项 | CLI 命令 | |
---|---|---|
查看或配置密码复杂性配置 | get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity 可以使用以下参数更改特定参数: Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change): |
|
查看身份验证策略 | get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
|
配置身份验证策略 | set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
密码选项 | API 命令 |
---|---|
查看密码复杂性和授权策略 | get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 } |
查看 VMware Identity Manager (vIDM) 授权策略 | get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname: |
配置 vIDM 授权策略 | set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring |
配置密码复杂性和授权策略
|
put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg> |
|
lockout_reset_period |
|
max_auth_failures |
|
digits |
|
hash_algorithm |
|
lower_chars |
|
max_repeats |
|
max_sequence |
|
maximum_password_length |
|
minimum_password_length |
|
minimum_unique_chars |
|
password_remembrance
|
|
special_chars |
|
upper_chars |
重置密码复杂性和/或身份验证策略 | 对于节点、传输节点和集群:reset-password-complexity reset-auth-policies reset-all |