vCenter Single Sign-On 策略通常会强制实施本地帐户和令牌的安全规则。您可以查看和编辑默认 vCenter Single Sign-On 密码策略、锁定策略,以及令牌策略。

编辑 vCenter Single Sign-On密码策略

vCenter Single Sign-On 密码策略确定了密码格式和密码过期时间。密码策略仅适用于 vCenter Single Sign-On 域 (vsphere.local) 中的用户。

默认情况下,vCenter Single Sign-On 内置用户帐户密码在 90 天后过期。密码即将过期时,vSphere Client 将向您发出提醒。

请参见 更改 vCenter Single Sign-On 密码
注: 管理员帐户 ([email protected]) 不会被锁定,它的密码也不会过期。正确的安全做法是审核此帐户的登录名,并定期轮换密码。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 单击本地帐户选项卡。
  5. 单击密码策略行对应的编辑
  6. 编辑密码策略。
    选项 描述
    描述 密码策略描述。
    最长生命周期 用户必须更改密码前密码保持有效的最大天数。可以输入的最大天数为 999999999。值为零 (0) 表示密码永不过期。
    限制重用 不能重用的之前密码的个数。例如,如果输入 6,则用户不能重用最近六个密码中的任何一个。
    最大长度 允许密码包含的最大字符数。
    最小长度 密码必须包含的最少字符数。最小长度不得小于字母、数字和特殊字符要求的最小总和。
    字符要求
    密码必须包含的不同字符类型最小数目。您可以指定每种字符的数量,如下所示:
    • 特殊字符:& # %
    • 字母字符:A b c D
    • 大写字符:A B C
    • 小写字符:a b c
    • 数字字符:1 2 3
    • 相同的相邻字符数:该值必须大于 0。例如,如果输入 1,则不允许使用以下密码:p@$$word.

    字母字符最小数目不得小于大写和小写字符的总和。

    密码中支持非 ASCII 字符。在 vCenter Single Sign-On的早期版本中,支持的字符存在限制。

    注: 仅当最小长度超过 20 个字符时,密码策略才会选取最大长度值。当最小长度值大于 20 个字符且最大长度设置为任意值时,密码策略的行为未定义或可能会导致服务失败。为避免潜在问题,请将最小长度设置为默认值 8 个字符,或不超过 20 个字符。
  7. 单击保存

编辑 vCenter Single Sign-On 锁定策略

如果用户尝试使用不正确的凭据进行登录,vCenter Single Sign-On 锁定策略会指定用户的 vCenter Single Sign-On 帐户被锁定的时间。管理员可以编辑锁定策略。

如果用户使用错误的密码多次登录 vsphere.local,则将锁定用户。通过锁定策略,管理员可以指定最多失败登录尝试次数,并设置两次失败之间的时间间隔。该策略还可指定在自动解锁帐户之前必须经过的时长。
注: 锁定策略仅适用于用户帐户,而不适用于系统帐户(如 [email protected])。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 单击本地帐户选项卡。
  5. 单击锁定策略行对应的编辑
    可能需要向下滚动才能看到 锁定策略行。
  6. 编辑参数。
    选项 描述
    描述 锁定策略的可选描述。
    最多失败登录尝试次数 在锁定帐户之前允许的最多失败登录尝试次数。
    两次失败之间的时间间隔 必须发生失败登录尝试才能触发锁定的时间段。
    解锁时间 帐户保持锁定状态的时间量。如果输入 0,则管理员必须明确地解锁帐户。
  7. 单击保存

编辑 vCenter Single Sign-On 令牌策略

vCenter Single Sign-On令牌策略可以指定令牌属性,如时钟容错和续订计数。您可以编辑令牌策略以确保令牌规范遵从贵公司的安全标准。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 单击本地帐户选项卡。
  5. 单击令牌的可信赖度行对应的编辑
    可能需要向下滚动才能看到 令牌的可信赖度行。
  6. 编辑令牌策略配置参数。
    选项 描述
    时钟容错 vCenter Single Sign-On允许客户端时钟与域控制器时钟之间存在的时差(以毫秒为单位)。如果时差大于指定值,vCenter Single Sign-On 将声明令牌无效。
    最大令牌续订计数 可以续订令牌的最大次数。超过最大续订尝试次数后,需要使用新安全令牌。
    最大令牌委派计数 可以将密钥所有者令牌委派给 vSphere 环境中的服务。使用委派令牌的服务将代表提供该令牌的主体执行服务。令牌请求指定 DelegateTo 身份。DelegateTo 值可以是解决方案令牌或对解决方案令牌的引用。此值指定可以委派单个密钥所有者令牌的次数。
    持有者令牌的最长生命周期 持有者令牌仅根据令牌的占有情况提供身份验证。持有者令牌只能在短期的单个操作中使用。持有者令牌不验证发送请求的用户或实体的身份。此值指定在重新发布持有者令牌之前该令牌的生命周期值。
    密钥所有者令牌的最长生命周期 密钥所有者令牌根据令牌中嵌入的安全项目提供身份验证。密钥所有者令牌可用于委派。客户端可以获取密钥所有者令牌并将该令牌委托给其他实体。该令牌包含用于标识请求方和委派方的声明。在 vSphere 环境中,vCenter Server 系统代表用户获取委派的令牌并使用这些令牌执行操作。

    此值决定在将密钥所有者令牌标记为无效之前该令牌的生命周期。

  7. 单击保存

编辑 Active Directory(集成 Windows 身份验证)用户的密码过期通知

Active Directory 密码过期通知与vCenter ServerSSO 密码过期是分开的。Active Directory 用户的默认密码过期通知是 30 天,但实际密码过期取决于您的 Active Directory 系统。vSphere Client可控制过期通知。您可以更改默认过期通知以满足您公司的安全标准。

前提条件

过程

  1. 以具有管理员特权的用户身份登录到 vCenter Server shell。
    具有超级管理员角色的默认用户是 root。
  2. 将目录更改为 vSphere Clientwebclient.properties 文件所在的位置。 
    cd /etc/vmware/vsphere-ui
  3. 使用文本编辑器打开 webclient.properties 文件。
  4. 编辑以下变量。 
    sso.pending.password.expiration.notification.days = 30
  5. 重新启动 vSphere Client 
    service-control --stop vsphere-ui
service-control --start vsphere-ui