对于 ESXi 主机,您需要使用符合预定义要求的密码。您可以使用Security.PasswordQualityControl高级选项更改所需长度和字符类别要求或允许密码短语。您还可以使用 Security.PasswordHistory高级选项设置每个用户要记住的密码数。
ESXi 密码
ESXi 对从直接控制台用户界面、ESXi Shell、SSH 或 VMware Host Client 进行的访问强制执行密码要求。
- 默认情况下,创建密码时必须包括四类字符:小写字母、大写字母、数字和特殊字符(如下划线或短划线)。
- 默认情况下,密码长度大于 7 小于 40。
- 密码不能包含字典单词或部分字典单词。
ESXi 密码示例
retry=3 min=disabled,disabled,disabled,7,7使用此设置时,不允许使用包含一种或两种类别字符的密码,也不允许使用密码短语,因为前三项已禁用。使用三种和四种类别字符的密码需要 7 个字符。有关详细信息,请参见 pam_passwdqc手册页。
- xQaTEhb! :包含由三类字符组成的八个字符。
- xQaT3#A:包含由四类字符组成的七个字符。
- Xqat3hi:以大写字符开头,将有效字符类别数减少为两种。需要的最少字符类别数为三种。
- xQaTEh2:以数字结尾,将有效字符种类数减少到两种。需要的最少字符类别数为三种。
ESXi 密码短语
您还可以使用密码短语代替密码,但是,默认情况下,密码短语处于禁用状态。您可以在 vSphere Client 中使用 Security.PasswordQualityControl 高级选项更改此默认值或其他设置。
例如,您可以将该选项更改为以下值。
retry=3 min=disabled,disabled,16,7,7
此示例允许密码短语的长度至少为 16 个字符,且至少包含 3 个单词,并以空格分隔。
对于旧版主机,仍然支持更改 /etc/pam.d/passwd 文件,但在将来的版本中将不再支持更改此文件。将来的版本将改用 Security.PasswordQualityControl高级选项。
更改默认密码限制
您可以使用 ESXi 主机的Security.PasswordQualityControl 高级选项更改密码或密码短语的默认限制。有关设置 ESXi 高级选项的信息,请参见vCenter Server 和主机管理文档。
retry=3 min=disabled,disabled,15,7,7 passphrase=4有关详细信息,请参见 pam_passwdqc 的手册页。
ESXi 帐户锁定行为
从 vSphere 6.0 开始,系统将支持对通过 SSH 和通过 vSphere Web Services SDK 进行的访问进行帐户锁定。直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许 5 次尝试,当这些尝试均失败后,便会锁定帐户。默认情况下,帐户将在 15 分钟后解锁。
配置登录行为
- Security.AccountLockFailures。在锁定用户帐户之前允许的最多失败登录尝试次数。“零”将禁用帐户锁定。
- Security.AccountUnlockTime.用户被锁定的秒数。
- Security.PasswordHistory.要为每个用户记住的密码数。为零时禁用密码历史记录。
有关设置 ESXi 高级选项的信息,请参见vCenter Server 和主机管理文档。