Als Sicherheitsmaßnahme können Sie Kennwörter für die Komponenten in Ihrer VMware Cloud Foundation-Instanz rotieren. Bei der Kennwortrotation werden zufällige Kennwörter für die ausgewählten Konten erzeugt. Sie können Kennwörter manuell rotieren, oder die automatische Rotation für Konten, die von SDDC Manager verwaltet werden.

Sie können Kennwörter für die folgenden Konten rotieren.

  • VxRail Manager
  • ESXi
    Hinweis: Die automatische Rotation wird für ESXi nicht unterstützt.
  • vCenter Server

    Standardmäßig läuft das vCenter Server-Root-Kennwort nach 90 Tagen ab.

    Hinweis: Die automatische Rotation wird für vCenter Server-Dienstkonten automatisch aktiviert. Es kann bis zu 24 Stunden dauern, bis die Richtlinie für die automatische Rotation des Dienstkontos für einen neu bereitgestellten vCenter Server konfiguriert ist.
  • vSphere Single Sign-On (PSC)
  • NSX Edge-Knoten
  • NSX Manager
  • vRealize Suite Lifecycle Manager
  • vRealize Log Insight
  • vRealize Operations
  • vRealize Automation
  • Workspace ONE Access
    Hinweis: Bei Workspace ONE Access-Kennwörtern variiert die Methode der Kennwortrotation je nach Benutzerkonto. Weitere Details finden Sie in der folgenden Tabelle.
  • SDDC Manager-Backup-Benutzer
Tabelle 1. Details zur Kennwortrotation für Workspace ONE Access-Benutzerkonten

Workspace ONE Access-Benutzerkonto

vRealize Suite Lifecycle Manager Locker-Eintrag

Kennwortrotationsmethode

Geltungsbereich der Kennwortrotation

admin (443)

xint-wsa-admin

SDDC Manager-Kennwortrotation

Anwendung

admin (8443)

xint-wsa-admin

Globale vRealize Suite Lifecycle Manager-Umgebung

Pro Knoten

configadmin (443)

xint-wsa-configadmin

  1. Setzen Sie das Benutzerkennwort configadmin in Workspace ONE Access über den Link zum Zurücksetzen der E-Mail zurück.
  2. Erstellen Sie ein neues Anmeldedatenobjekt in vRealize Suite Lifecycle Manager Locker, das dem neuen Kennwort entspricht.
  3. Aktualisieren Sie das von globalEnvironment in vRealize Suite Lifecycle Manager Locker referenzierte Anmeldedatenobjekt auf das neue Anmeldedatenobjekt.

Anwendung

sshuser-

global-env-admin

Globale vRealize Suite Lifecycle Manager-Umgebung

Pro Knoten

root (ssh)

xint-wsa-root

SDDC Manager-Kennwortrotation

Pro Knoten

Die Standardkennwortrichtlinie für rotierte Kennwörter erfordert:
  • 20 Zeichen
  • Mindestens ein Großbuchstabe, eine Zahl und eines der folgenden Sonderzeichen: ! @ # $ ^ *
  • Nicht mehr als zwei der gleichen Zeichen hintereinander

Wenn Sie die Länge des vCenter Server-Kennworts mit dem vSphere Client oder die Länge des ESXi-Kennworts mit dem VMware Host Client geändert haben, wird beim Rotieren des Kennworts für diese SDDC Manager-Komponenten ein Kennwort generiert, das mit der von Ihnen angegebenen Kennwortlänge übereinstimmt.

Informationen zum Aktualisieren der SDDC Manager-Root-, Superuser- und API-Kennwörter finden Sie unter Aktualisieren von SDDC Manager-Kennwörtern.

Voraussetzungen

  • Stellen Sie sicher, dass derzeit keine fehlgeschlagenen Workflows in SDDC Manager vorhanden sind. Um nach fehlgeschlagenen Workflows zu suchen, klicken Sie im Navigationsbereich auf Dashboard und erweitern Sie den Bereich Aufgaben unten auf der Seite.
  • Vergewissern Sie sich, dass während des kurzen Zeitraums, in dem der Kennwortrotationsvorgang ausgeführt wird, keine aktiven Workflows ausgeführt werden oder für die Ausführung vorgesehen sind. Es wird empfohlen, die Kennwortrotation für einen Zeitraum zu planen, in dem Sie erwarten, dass keine Workflows ausgeführt werden.
  • Nur ein Benutzer mit der Rolle ADMIN kann diese Aufgabe ausführen.

Prozedur

  1. Klicken Sie im Navigationsbereich auf Sicherheit > Kennwortverwaltung.
  2. "Klicken Sie auf die Registerkarte für die Komponente, die die Konten enthält, für die Sie ein Kennwort rotieren möchten."
    Kennwortverwaltungsoptionen für ESXi-Konten.
    Beispiel: ESXI.
  3. Wählen Sie ein oder mehrere Konten aus und klicken Sie auf einen der folgenden Vorgänge.
    • Jetzt rotieren
    • Rotation planen
      Sie können das Kennwortrotationsintervall festlegen (30 Tage, 60 Tage oder 90 Tage). Sie können den Zeitplan auch deaktivieren.
      Hinweis: Der Zeitplan für die automatische Rotation ist für die Ausführung um Mitternacht am geplanten Datum konfiguriert. Wenn die automatische Rotation aufgrund eines technischen Problems nicht gestartet werden konnte, ist ein stündlicher automatischer Wiederholungsversuch bis zum Beginn des nächsten Tages vorgesehen. Falls die Zeitplanrotation aufgrund technischer Probleme nicht eingehalten werden kann, zeigt die Benutzeroberfläche eine globale Benachrichtigung mit dem Status der fehlgeschlagenen Aufgabe an. Der Status der Zeitplanrotation kann auch im Bereich „Aufgaben“ überprüft werden.
    Oben auf der Seite wird eine Meldung mit dem Fortschritt des Vorgangs angezeigt. Im Bereich „Aufgaben“ werden auch detaillierte Statusinformationen für den Vorgang der Kennwortrotation angezeigt. Um Unteraufgaben anzuzeigen, klicken Sie auf den Namen der Aufgabe. Wenn jede dieser Aufgaben ausgeführt wird, wird der Status aktualisiert. Wenn die Aufgabe fehlschlägt, können Sie auf Wiederholen klicken.

Ergebnisse

Die Kennwortrotation ist abgeschlossen, wenn alle Unteraufgaben erfolgreich abgeschlossen wurden.