对于 ESXi 主机,必须使用符合预定义要求的密码。可以更改所需密码长度、字符类别要求,或者允许使用密码短语,所有这些设置都可使用 Security.PasswordQualityControl 高级选项实现。还可以使用 Security.PasswordHistory 高级选项设置要为每个用户记住的密码数。使用 Security.PasswordMaxDays 高级选项,可以设置两次更改密码之间的最大天数。
如果尝试使用不正确的凭据登录,帐户锁定策略将指定系统锁定帐户的时间和时长。
- ESXi 密码
-
ESXi 强制执行密码访问要求。
- 默认情况下,在创建密码时,必须包括以下四类字符中任何三类字符的组合:小写字母、大写字母、数字和特殊字符(如下划线或短划线)。
- 默认情况下,密码长度必须至少为 7 个字符,最多 40 个字符。
- 密码不得包含字典单词或部分字典单词。
- 密码不得包含用户名或部分用户名。
- ESXi 密码示例
-
以下候选密码说明了选项设置如下时可以使用的密码:
retry=3 min=disabled,disabled,disabled,7,7
使用此设置时,如果新密码不够强或者两次未正确输入密码,则系统最多会提示用户输入三次 (retry=3)。不允许使用包含一种或两种类别字符的密码,也不允许使用密码短语,因为前三项已停用。使用三种和四种字符类别的密码需要 7 个字符。
候选密码符合以下密码要求:
- xQaTEhb! :包含由三类字符组成的八个字符。
- xQaT3#A:包含由四类字符组成的七个字符。
所选的以下密码不符合密码要求:
- Xqat3hi:以大写字符开头,将有效字符类别数减少为两种。需要的最少字符类别数为三种。
- xQaTEh2:以数字结尾,将有效字符种类数减少到两种。需要的最少字符类别数为三种。
- 密码质量控制
-
可以使用 Security.PasswordQualityControl 高级选项控制密码质量。
Security.PasswordQualityControl 由遵循以下模式的多个设置组成:
retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
密码质量控制设置 描述 默认 retry=N在密码不正确或不够强时,用户必须提供新密码的次数。 retry=3min=N0,N1,N2,N3,N4字符类别和密码短语最小长度要求。 N0是一种字符类别的最小密码长度。N1是两种字符类别的最小密码长度。N2是密码短语的最小长度。N3是三种字符类别的最小长度。N4是四种字符类别的最小长度。
min=disabled,disabled,disabled,7,7max=N允许的最大密码长度。 max=40passphrase=N密码短语所需的单词数。为确保识别 passphrase,请勿将min中的N2设置为 disabled。passphrase=3similar=permit|deny指示是否允许密码与旧密码类似。要使用此设置,请确保将 Security.PasswordHistory 选项设置为非零值。 similar=deny - ESXi 密码短语
-
可以使用密码短语代替密码。默认情况下,密码短语处于停用状态。可以使用 Security.PasswordQualityControl 高级选项更改默认设置。
例如,您可以将该选项更改为以下值。
retry=3 min=disabled,disabled,16,7,7
此示例允许使用至少包含 16 个字符的密码短语。密码短语必须至少包含 3 个以空格分隔的单词。
- 密码历史记录和轮换策略示例
-
要记住 5 个密码的历史记录,请将 Security.PasswordHistory 选项设置为 5。
要强制执行 90 天密码轮换策略,请将 Security.PasswordMaxDays 选项设置为 90。
- ESXi 帐户锁定策略
-
在连续尝试预设次数失败后,用户将被锁定。默认情况下,用户在 3 分钟内连续 5 次尝试失败后将被锁定,锁定的帐户在 15 分钟后将自动解锁。可以使用 Security.AccountLockFailures 和 Security.AccountUnlockTime 高级选项更改允许的最大失败尝试次数和锁定用户帐户的时长。
要配置管理员密码和帐户锁定行为,请执行以下步骤。
