Mit einer Kennwortkomplexitätsrichtlinie werden die Mindestanforderungen für die Definition des Kontokennworts festgelegt. Die Einstellungen unterscheiden sich je nach Kontotyp und Komponente der VMware Cloud Foundation-Instanz.
| Verwaltungskomponente | Einstellungen für Kennwortkomplexität | Geltungsbereich |
|---|---|---|
| ESXi |
|
Lokaler Benutzer |
| vCenter Single Sign-On |
|
vCenter Single Sign-On-Domäne |
| vCenter Server |
|
Lokaler Benutzer |
| NSX Manager |
|
Lokaler Benutzer |
| NSX Edge |
|
Lokaler Benutzer |
| SDDC Manager |
|
Lokaler Benutzer |
Voraussetzungen
Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von Kennwortrichtlinien.
Konfigurieren der Kennwortkomplexitätsrichtlinie des lokalen Benutzers für ESXi
Definieren Sie die Anforderungen für lokale Benutzerkennwörter für die ESXi-Hosts in VMware Cloud Foundation, einschließlich der erforderlichen Kennwortlänge, der Anforderungen an die Zeichenklasse oder der Zulassung von Passphrasen.
| Einstellung |
Standardwert |
|---|---|
| Security.PasswordHistory |
0 |
| Security.PasswordQualityControl |
retry=3 min=disabled,disabled,disabled,7,7 |
Informationen zum Format der Security.PasswordQualityControl-Einstellungen finden Sie unter ESXi-Kennwörter und Kontosperrung in der Dokumentation zur vSphere-Sicherheit.
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
- Navigieren Sie in der Bestandsliste Hosts und Cluster zum ersten vSphere-Cluster und erweitern Sie diesen.
Wählen Sie den ersten ESXi-Host aus und klicken Sie auf die Registerkarte Konfigurieren.
Klicken Sie im Bereich System auf Erweiterte Systemeinstellungen.
Klicken Sie auf der Registerkarte Erweiterte Systemeinstellungen auf Bearbeiten.
Geben Sie Security.PasswordHistory im Textfeld „Schlüsselfilter“ ein und konfigurieren Sie die Einstellungen entsprechend den Anforderungen Ihrer Organisation.
Geben Sie Security.PasswordQualityControl im Textfeld „Schlüsselfilter“ sowie Werte für die Einstellungen entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf OK.
Wiederholen Sie diesen Vorgang auf allen verbleibenden Hosts im Cluster.
Wiederholen Sie dieses Verfahren in allen verbleibenden Clustern in der Arbeitslastdomäne.
Wiederholen Sie diesen Vorgang für alle anderen Arbeitslastdomänen und deren Cluster.
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $policy = "retry=3 min=disabled,disabled,disabled,7,7” $history = "3"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-EsxiPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -policy $policy -history $history
Wiederholen Sie dieses Verfahren für alle verbleibenden Cluster in der
$sddcDomainName-Arbeitslastdomäne.Wiederholen Sie dieses Verfahren für alle Cluster in den verbleibenden Arbeitslastdomänen.
Konfigurieren der Kennwortkomplexitätsrichtlinie für vCenter Single Sign-On
Definieren Sie die Anforderungen an das Kennwortformat für den integrierten vCenter Single Sign-On-Identitätsanbieter für VMware Cloud Foundation.
Die Kennwortkomplexitätsrichtlinie gilt nur für Benutzerkonten in der vsphere.local-Domäne des integrierten vCenter Single Sign-On-Identitätsanbieters. Die Richtlinie gilt nicht für lokale Systemkonten und [email protected].
Einstellung |
Standardwert |
|---|---|
Wiederverwendung einschränken |
5 |
Maximallänge |
20 |
Mindestlänge |
8 |
Sonderzeichen |
1 |
Alphabetische Zeichen |
2 |
Großbuchstaben |
1 |
Kleinbuchstaben |
1 |
Numerische Zeichen |
1 |
Identische benachbarte Zeichen |
1 |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
- Wählen Sie im Menü des vSphere Client die Option Verwaltung aus.
Klicken Sie im Abschnitt Single Sign-On auf Konfiguration.
Klicken Sie auf der Seite Konfiguration auf die Registerkarte Lokale Konten.
Klicken Sie im Abschnitt Kennwortrichtlinie auf Bearbeiten.
Ändern Sie die Einstellungen entsprechend den Anforderungen Ihrer Organisation und klicken Sie auf Speichern.
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "8" $maxLength = "20" $minAlphabetic = "2" $minLowercase = "1" $minUppercase = "1" $minNumerical = "1" $minSpecial = "1" $maxIdenticalAdjacent = "1" $history = "5"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-SsoPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -maxLength $maxLength -minAlphabetic $minAlphabetic -minLowercase $minLowercase -minUppercase $minUppercase -minNumeric $minNumerical -minSpecial $minSpecial -maxIdenticalAdjacent $maxIdenticalAdjacent -history $history
Konfigurieren der Kennwortkomplexitätsrichtlinie des lokalen Benutzers für vCenter Server
Legen Sie die Anforderungen an das Kennwortformat für die lokalen Benutzer der vCenter Server Appliances in VMware Cloud Foundation fest, wie z. B. das Root-Konto.
Einstellung |
Standardwert |
Beschreibung |
|---|---|---|
minlen |
6 |
Minimale Kennwortlänge |
lcredit |
-1 |
Maximale Anzahl an Kleinbuchstaben für Vertrauenswürdigkeit |
ucredit |
-1 |
Maximale Anzahl an Großbuchstaben für Vertrauenswürdigkeit |
dcredit |
-1 |
Maximale Anzahl an Ziffern für Vertrauenswürdigkeit |
ocredit |
-1 |
Maximale Anzahl anderer Zeichen für Vertrauenswürdigkeit |
difok |
4 |
Mindestzahl an Zeichen, die sich vom alten Kennwort unterscheiden müssen |
remember |
5 |
Maximale Anzahl der im System gespeicherten Kennwörter |
Verfahren der Benutzeroberfläche
Melden Sie sich bei der vCenter Server Appliance für eine Arbeitslastdomäne mithilfe von SSH als Root-Benutzer an.
Aktivieren Sie Shell-Zugriff.
shell
- Sichern Sie die Kennwortanforderungen für die Appliance mit folgendem Befehl.
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
-
Legen Sie diese Einstellungen entsprechend den Anforderungen Ihrer Organisation mit den folgenden Befehlen fest.
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-passwords sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
Wiederholen Sie dieses Verfahren auf der vCenter Server-Instanz für die verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
- Starten Sie Windows PowerShell.
- Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "6" $minLowercase = "-1" $minUppercase = "-1" $minNumeric = "-1" $minSpecial = "-1" $minUnique = "4" $history = "5"
- "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-VcenterPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumeric -minSpecial $minSpecial -minUnique $minUnique -history $history
- Wiederholen Sie dieses Verfahren für alle VI-Arbeitslastdomänen.
Konfigurieren der Kennwortkomplexitätsrichtlinie des lokalen Benutzers für NSX Manager
Definieren Sie die Anforderungen an das Kennwortformat für lokale Benutzer der NSX Manager-Appliances in VMware Cloud Foundation.
Einstellung |
Standardwert |
Beschreibung |
|---|---|---|
minlen |
12 |
Minimale Kennwortlänge
Hinweis:
Wenn laut Kennwortrichtlinie die Mindestlänge des Kennworts auf einen Wert größer als 20 festgelegt werden muss, ist die Verwendung der Kennwortrotation in SDDC Manager nicht möglich. |
lcredit |
-1 |
Maximale Anzahl an Kleinbuchstaben für Vertrauenswürdigkeit |
ucredit |
-1 |
Maximale Anzahl an Großbuchstaben für Vertrauenswürdigkeit |
dcredit |
-1 |
Maximale Anzahl an Ziffern für Vertrauenswürdigkeit |
ocredit |
-1 |
Maximale Anzahl anderer Zeichen für Vertrauenswürdigkeit |
difok |
0 |
Mindestzahl an Zeichen, die sich vom alten Kennwort unterscheiden müssen |
| MAX_PASSWORD_LEN | 128 | Maximale Kennwortlänge |
| maxrepeat | 0 | Maximal Anzahl zulässiger aufeinanderfolgender Zeichen |
| maxsequence | 0 | Maximale Anzahl der Wiederholungen eines einzelnen Zeichens |
| remember | 0 | Maximale Anzahl der im System gespeicherten Kennwörter |
| hash_algorithm | sha512 | Hash-Algorithmus |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei vCenter Server unter https://<vcenter_server_fqdn>/ui als [email protected] an.
- Erweitern Sie den VM-Ordner mit dem NSX Manager-Cluster für die Verwaltungsdomäne.
- Wählen Sie den ersten Knoten des NSX Manager-Clusters aus und klicken Sie auf Web-Konsole starten.
- Melden Sie sich beim NSX Manager-Knoten als admin an.
- Beginnen Sie mit der Änderung der Kennwortkomplexitätsrichtlinie, indem Sie den Befehl set password-complexity ausführen.
- Legen Sie in der Eingabeaufforderung die Einstellungen für die Kennwortkomplexität entsprechend den Anforderungen Ihrer Organisation interaktiv fest.
Minimum password length (leave empty to not change): <your_value> Maximum password length (leave empty to not change): <your_value> Lower characters (leave empty to not change): <your_value> Upper characters (leave empty to not change): <your_value> Numeric characters (leave empty to not change): <your_value> Special characters (leave empty to not change): <your_value> Minimum unique characters (leave empty to not change): <your_value> Allowed similar consecutives (leave empty to not change): <your_value> Allowed monotonic sequence (leave empty to not change): <your_value> Hash algorithm (leave empty to not change): <your_value> Password remembrance (leave empty to not change): <your_value>
- Wiederholen Sie dieses Verfahren auf den verbleibenden NSX Local Manager-Knoten für die Verwaltungsdomäne.
- Wiederholen Sie dieses Verfahren in den NSX Local Manager-Clustern für alle VI-Arbeitslastdomänen.
- Wiederholen Sie diesen Vorgang auf allen NSX Global Manager-Knoten.
PowerShell-Verfahren
- Starten Sie Windows PowerShell.
- Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "12" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "0" $maxLength = "128" $maxRepeats = "0" $maxSequence = "0" $history = "0" $hashAlgorithm = "sha512"
- "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-NsxtManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxLength $maxLenth -maxRepeats $maxRepeats -maxSequence $maxSequence -history $history -hash_algorithm $hashAlgorithm
- Wiederholen Sie dieses Verfahren in den NSX Local Manager-Clustern für alle VI-Arbeitslastdomänen.
- Konfigurieren Sie die Richtlinien für die Kennwortkomplexität manuell auf allen NSX Global Manager-Clustern in der Appliance-Konsole jedes Knotens.
Konfigurieren der Kennwortkomplexitätsrichtlinie des lokalen Benutzers für NSX Edge
Definieren Sie die Anforderungen an das Kennwortformat für lokale Benutzer auf der NSX Edge-Appliance in VMware Cloud Foundation.
Einstellung |
Standardwert |
Beschreibung |
|---|---|---|
minlen |
15 |
Minimale Kennwortlänge
Hinweis:
Wenn laut Kennwortrichtlinie die Mindestlänge des Kennworts auf einen Wert größer als 20 festgelegt werden muss, ist die Verwendung der Kennwortrotation in SDDC Manager nicht möglich. |
lcredit |
-1 |
Maximale Anzahl an Kleinbuchstaben für Vertrauenswürdigkeit |
ucredit |
-1 |
Maximale Anzahl an Großbuchstaben für Vertrauenswürdigkeit |
dcredit |
-1 |
Maximale Anzahl an Ziffern für Vertrauenswürdigkeit |
ocredit |
-1 |
Maximale Anzahl anderer Zeichen für Vertrauenswürdigkeit |
difok |
0 |
Mindestzahl an Zeichen, die sich vom alten Kennwort unterscheiden müssen |
retry |
3 |
Maximale Anzahl an Wiederholungen |
Verfahren der Benutzeroberfläche
Wenn Sie eine virtuelle NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe der Web-Konsole im vSphere Client.
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
Navigieren Sie in der Bestandsliste VMs und Vorlagen zum VM-Ordner, der den NSX Edge-Cluster für die Arbeitslastdomäne enthält, und erweitern Sie den Ordner.
Wählen Sie den ersten Knoten des NSX Edge-Clusters aus und klicken Sie auf Web-Konsole starten.
Wenn Sie eine Bare-Metal-NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe einer Out-of-Band-Verwaltungsschnittstelle wie beispielsweise iLO oder iDRAC.
Melden Sie sich beim NSX Edge-Knoten als root an.
Sichern Sie die Kennwortanforderungen für die Appliance mit dem folgenden Befehl.
cp -p /etc/pam.d/common-password /etc/pam.d/common-password-`date +%F_%H:%M:%S`.back
Legen Sie diese Einstellungen entsprechend den Anforderungen Ihrer Organisation mit den folgenden Befehlen fest.
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/common-password
Wiederholen Sie dieses Verfahren auf den verbleibenden NSX Edge-Clusterknoten in der Arbeitslastdomäne.
Wiederholen Sie dieses Verfahren auf allen NSX Edge-Clustern in den verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
Sie können den PowerShell-Befehl verwenden, um die Richtlinien für die Kennwortkomplexität nur auf den NSX Edge-Knoten in VMware Cloud Foundation zu konfigurieren, die mithilfe von SDDC Manager bereitgestellt werden. Konfigurieren Sie für virtuelle NSX Edge-Appliances, die manuell bereitgestellt werden, und für Bare-Metal-NSX Edge-Appliances die Richtlinien manuell gemäß der NSX-Dokumentation.
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "15" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "0" $maxRetry = "3"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-NsxtEdgePasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxRetry $maxRetry
Wiederholen Sie dieses Verfahren für alle NSX Edge-Cluster in den verbleibenden Arbeitslastdomänen.
Konfigurieren der Kennwortkomplexitätsrichtlinie des lokalen Benutzers für SDDC Manager
Definieren Sie die Anforderungen an das Kennwortformat für lokale Benutzer der SDDC Manager-Appliance.
| Einstellung |
Standardwert |
Beschreibung |
|---|---|---|
| minlen |
8 |
Minimale Kennwortlänge |
| lcredit |
-1 |
Maximale Anzahl an Kleinbuchstaben für Vertrauenswürdigkeit |
| ucredit |
-1 |
Maximale Anzahl an Großbuchstaben für Vertrauenswürdigkeit |
| dcredit |
-1 |
Maximale Anzahl an Ziffern für Vertrauenswürdigkeit |
| ocredit |
-1 |
Maximale Anzahl anderer Zeichen für Vertrauenswürdigkeit |
| minclass |
4 |
Mindestzahl an Zeichentypen, die verwendet werden müssen (Großbuchstaben, Kleinbuchstaben, Ziffern usw.) |
| difok |
4 |
Mindestzahl an Zeichen, die sich vom alten Kennwort unterscheiden müssen |
| retry |
3 |
Maximale Anzahl an Wiederholungen |
| maxsequence |
0 |
Maximale Anzahl der Wiederholungen eines einzelnen Zeichens |
| remember |
5 |
Maximale Anzahl der im System gespeicherten Kennwörter |
Verfahren der Benutzeroberfläche
- Melden Sie sich mithilfe von SSH bei der SDDC Manager-Appliance als vcf an.
- Wechseln Sie zum root-Benutzer.
su -
- Sichern Sie die Kennwortanforderung mit dem folgenden Befehl.
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
Legen Sie diese Einstellungen entsprechend den Anforderungen Ihrer Organisation mit den folgenden Befehlen fest.
sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $minLength = "6" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "4" $minClass = "4" $maxSequence = "0" $history = "5" $maxRetry = "3"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-SddcManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -minClass $minClass -maxSequence $maxSequence -history $history -maxRetry $maxRetry
