对于 ESXi 主机,您需要使用符合预定义要求的密码。您可以使用Security.PasswordQualityControl高级选项更改所需长度和字符类别要求或允许密码短语。您还可以使用 Security.PasswordHistory高级选项设置每个用户要记住的密码数。

ESXi 使用 Linux PAM 模块 pam_passwdqc 进行密码管理和控制。有关详细信息,请参见 pam_passwdqc 的手册页。
注: ESXi 密码的默认要求因版本而异。您可以使用 Security.PasswordQualityControl高级选项检查并更改默认的密码限制。

ESXi 密码

ESXi 对从直接控制台用户界面、ESXi Shell、SSH 或 VMware Host Client 进行的访问强制执行密码要求。

  • 默认情况下,创建密码时必须包括四类字符:小写字母、大写字母、数字和特殊字符(如下划线或短划线)。
  • 默认情况下,密码长度大于 7 小于 40。
  • 密码不能包含字典单词或部分字典单词。
注: 密码开头的大写字母不算入使用的字符类别数。密码结尾的数字不算入使用的字符类别数。

ESXi 密码示例

以下候选密码说明选项设置如下时可以使用的密码。
retry=3 min=disabled,disabled,disabled,7,7
使用此设置时,不允许使用包含一种或两种类别字符的密码,也不允许使用密码短语,因为前三项已禁用。使用三种和四种类别字符的密码需要 7 个字符。有关详细信息,请参见 pam_passwdqc手册页。
使用这些设置时,允许使用以下密码。
  • xQaTEhb! :包含由三类字符组成的八个字符。
  • xQaT3#A:包含由四类字符组成的七个字符。
下列候选密码不符合要求。
  • Xqat3hi:以大写字符开头,将有效字符类别数减少为两种。需要的最少字符类别数为三种。
  • xQaTEh2:以数字结尾,将有效字符种类数减少到两种。需要的最少字符类别数为三种。

ESXi 密码短语

您还可以使用密码短语代替密码,但是,默认情况下,密码短语处于禁用状态。您可以在 vSphere Client 中使用 Security.PasswordQualityControl 高级选项更改此默认值或其他设置。

例如,您可以将该选项更改为以下值。

retry=3 min=disabled,disabled,16,7,7

此示例允许密码短语的长度至少为 16 个字符,且至少包含 3 个单词,并以空格分隔。

对于旧版主机,仍然支持更改 /etc/pam.d/passwd 文件,但在将来的版本中将不再支持更改此文件。将来的版本将改用 Security.PasswordQualityControl高级选项。

更改默认密码限制

您可以使用 ESXi 主机的Security.PasswordQualityControl 高级选项更改密码或密码短语的默认限制。有关设置 ESXi 高级选项的信息,请参见vCenter Server 和主机管理文档。

例如,您可以将默认值更改为要求包含最少 15 个字符和最少 4 个字,如下所示:
retry=3 min=disabled,disabled,15,7,7 passphrase=4
有关详细信息,请参见 pam_passwdqc 的手册页。
注: 并非 pam_passwdqc 选项的所有可能的组合均已经过测试。请在更改默认密码设置后执行额外的测试。

ESXi 帐户锁定行为

从 vSphere 6.0 开始,系统将支持对通过 SSH 和通过 vSphere Web Services SDK 进行的访问进行帐户锁定。直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许 5 次尝试,当这些尝试均失败后,便会锁定帐户。默认情况下,帐户将在 15 分钟后解锁。

配置登录行为

可以使用以下高级选项配置 ESXi 主机的登录行为:
  • Security.AccountLockFailures。在锁定用户帐户之前允许的最多失败登录尝试次数。“零”将禁用帐户锁定。
  • Security.AccountUnlockTime.用户被锁定的秒数。
  • Security.PasswordHistory.要为每个用户记住的密码数。为零时禁用密码历史记录。

有关设置 ESXi 高级选项的信息,请参见vCenter Server 和主机管理文档。