Verfahren der Benutzeroberfläche

1. Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.

2. Navigieren Sie in der Bestandsliste Hosts und Cluster zum ersten vSphere-Cluster und erweitern Sie diesen.

3. Wählen Sie den ersten ESXi-Host aus und klicken Sie auf die Registerkarte Konfigurieren.

4. Klicken Sie im Bereich System auf Erweiterte Systemeinstellungen.

5. Klicken Sie auf der Registerkarte Erweiterte Systemeinstellungen auf Bearbeiten.

6. Geben Sie Security.AccountLockFailures im Textfeld „Schlüsselfilter“ sowie einen Wert entsprechend den Anforderungen Ihrer Organisation ein.

7. Geben Sie Security.AccountUnlockTime im Textfeld „Schlüsselfilter“ sowie einen Wert entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf OK.

8. Wiederholen Sie diesen Vorgang für die verbleibenden Hosts im Cluster.

9. Wiederholen Sie diesen Vorgang für die verbleibenden Clustern in der Arbeitslastdomäne.

10. Wiederholen Sie diesen Vorgang für alle Cluster in den verbleibenden Arbeitslastdomänen.

PowerShell-Verfahren

1. Starten Sie Windows PowerShell.

2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

   $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
   $sddcManagerUser = "[email protected]"
   $sddcManagerPass = "VMw@re1!"
   
   $sddcDomainName = "sfo-m01"
   $cluster = "sfo-m01-cl01"
   
   $maxFailures = "5"
   $unlockInterval = "900"

3. "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."

   Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval

4. Wiederholen Sie diesen Vorgang für alle verbleibenden Cluster in der $sddcDomainName-Arbeitslastdomäne.

5. Wiederholen Sie diesen Vorgang für alle Cluster in den verbleibenden Arbeitslastdomänen.

Verfahren der Benutzeroberfläche

1. Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
2. Wählen Sie im Menü des vSphere Client die Option Verwaltung aus.
3. Klicken Sie im Abschnitt Single Sign-On auf Konfiguration.
4. Klicken Sie auf der Seite Konfiguration auf die Registerkarte Lokale Konten.
5. Klicken Sie im Abschnitt Sperrrichtlinie auf Bearbeiten.
6. Geben Sie die Werte für die Einstellungen entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf Speichern.

PowerShell-Verfahren

1. Starten Sie Windows PowerShell.
2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

   $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
   $sddcManagerUser = "[email protected]"
   $sddcManagerPass = "VMw@re1!"
   
   $sddcDomainName = "sfo-m01"
   
   $maxFailures = "5"
   $failureAttemptInterval = "180"
   $unlockInterval = "900"
   

3. "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."

   Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval

Verfahren der Benutzeroberfläche

1. Melden Sie sich bei der vCenter Server Appliance mit SSH als Root-Benutzer an.

2. Aktivieren Sie Shell-Zugriff.

   shell

3. Sichern Sie die Authentifizierungsanforderungen für die Appliance mit dem folgenden Befehl.

   cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back

4. Ändern Sie die maximale Anzahl fehlgeschlagener Versuche mit dem folgenden Befehl.

   sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth

5. Ändern Sie die Entsperrzeit für das Konto root mit dem folgenden Befehl.

   sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth

6. Ändern Sie die Entsperrzeit für das Root-Konto mit folgendem Befehl.

   sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth

7. Wiederholen Sie dieses Verfahren für jeden vCenter Server der Arbeitslastdomäne.

PowerShell-Verfahren

1. Starten Sie Windows PowerShell.

2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

   $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
   $sddcManagerUser = "[email protected]"
   $sddcManagerPass = "VMw@re1!"
   
   $sddcDomainName = "sfo-m01"
   
   $maxFailures = "5"
   $unlockInterval = "900"
   $rootUnlockInterval = "300"
   

3. "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."

   Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval

4. Wiederholen Sie dieses Verfahren für jeden vCenter Server der Arbeitslastdomäne.

Verfahren der Benutzeroberfläche

1. Melden Sie sich bei der vCenter Server-Verwaltungsdomäne unter https://<management_vcenter_server_fqdn>/ui an, indem Sie ein Konto mit Administratorrechten verwenden.
2. Erweitern Sie in der VMs und Vorlagen-Bestandsliste die vCenter Server-Struktur und erweitern Sie das Datencenter der Verwaltungsdomäne.

3. Erweitern Sie den VM-Ordner mit dem NSX Manager-Cluster.

4. Wählen Sie den ersten Knoten des NSX Manager-Clusters aus und klicken Sie auf Web-Konsole starten.

5. Melden Sie sich beim NSX Manager-Knoten als admin an.

6. Führen Sie die folgenden Befehle aus, um die Kontosperrrichtlinie für die Anmeldung oder die Durchführung einer API-Anforderung an die NSX Manager-Benutzeroberfläche gemäß den Anforderungen Ihrer Organisation zu konfigurieren.

   set auth-policy api lockout-period <lockout-period>
   set auth-policy api lockout-reset-period <lockout-reset-period>
   set auth-policy api max-auth-failures <auth-failures>

7. Führen Sie die folgenden Befehle aus, um die Kontosperrrichtlinie für die Anmeldung bei der NSX-CLI gemäß den Anforderungen Ihrer Organisation zu konfigurieren.

   set auth-policy cli lockout-period <lockout-period>
   set auth-policy cli max-auth-failures <auth-failures>

8. Wiederholen Sie diesen Vorgang für die verbleibenden NSX Local Manager-Knoten in der Verwaltungsdomäne.

9. Wiederholen Sie diesen Vorgang auf den NSX Local Manager-Knoten für alle VI-Arbeitslastdomänen.

10. Wiederholen Sie diesen Vorgang in allen NSX Global Manager-Clustern.

PowerShell-Verfahren

1. Starten Sie Windows PowerShell.

2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

   $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
   $sddcManagerUser = "[email protected]"
   $sddcManagerPass = "VMw@re1!"
   
   $sddcDomainName = "sfo-m01"
   
   $cliMaxFailures = "5"
   $cliUnlockInterval = "900"
   $apiMaxFailures = "5"
   $apiUnlockInterval = "900"
   $apiFailureInterval = "180"
   

3. Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen.

   Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval

4. Wiederholen Sie diesen Vorgang für alle lokalen NSX Manager-Cluster in den VI-Arbeitslastdomänen.

5. Konfigurieren Sie die Kontosperrrichtlinien für alle NSX Global Manager-Cluster manuell in der Appliance-Konsole jedes Knotens.

Verfahren der Benutzeroberfläche

1. Wenn Sie eine virtuelle NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe der Web-Konsole im vSphere Client.

   1. Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.

   2. Navigieren Sie in der Bestandsliste der VMs und Vorlagen zum VM-Ordner, der den NSX Edge-Cluster enthält, und erweitern Sie diesen.

   3. Wählen Sie den ersten Knoten des NSX Edge-Clusters aus und klicken Sie auf Web-Konsole starten.

2. Wenn Sie eine Bare-Metal-NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe einer Out-of-Band-Verwaltungsschnittstelle wie beispielsweise iLO oder iDRAC.

3. Melden Sie sich beim NSX Edge-Knoten als admin an.

4. Führen Sie die Befehle aus, um die Kontosperrrichtlinie für die Anmeldung bei der NSX-CLI entsprechend den Anforderungen Ihrer Organisation zu konfigurieren.

   set auth-policy cli lockout-period <lockout-period>
   set auth-policy cli max-auth-failures <auth-failures>

5. Wiederholen Sie diesen Vorgang auf den verbleibenden NSX Edge-Knoten in der Arbeitslastdomäne.

6. Wiederholen Sie diesen Vorgang auf allen NSX Edge-Knoten in den verbleibenden Arbeitslastdomänen.

PowerShell-Verfahren

Sie können den PowerShell-Befehl verwenden, um die Kontosperrrichtlinien nur auf den NSX Edge-Knoten in VMware Cloud Foundation zu konfigurieren, die mithilfe von SDDC Manager bereitgestellt werden. Konfigurieren Sie für virtuelle NSX Edge-Appliances, die manuell bereitgestellt werden, und für Bare-Metal-NSX Edge-Appliances die Richtlinien manuell gemäß der NSX-Dokumentation.

1. Starten Sie Windows PowerShell.

2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

   $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
   $sddcManagerUser = "[email protected]"
   $sddcManagerPass = "VMw@re1!"
   
   $sddcDomainName = "sfo-m01"
   
   $cliMaxFailures = "5"
   $cliUnlockInterval = "900"
   

3. Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen.

   Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval

4. Wiederholen Sie diesen Vorgang für alle verbleibenden Arbeitslastdomänen.

Verfahren der Benutzeroberfläche

1. Melden Sie sich mithilfe von SSH bei der SDDC Manager-Appliance als vcf an.
2. Wechseln Sie zum root-Benutzer.

   su -

3. Sichern Sie die Authentifizierungsanforderungen für die Appliance mit dem folgenden Befehl.

   cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back

4. Ändern Sie die maximale Anzahl fehlgeschlagener Versuche mit dem folgenden Befehl.

   sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth

5. Ändern Sie die Entsperrzeit für das Konto root mit dem folgenden Befehl.

   sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth

6. Ändern Sie die Entsperrzeit für alle lokalen Konten mit dem folgenden Befehl.

   sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth

Die Konfiguration wird auf alle lokalen Benutzerkonten auf der SDDC Manager-Appliance angewendet.

PowerShell-Verfahren

1. Starten Sie Windows PowerShell.
2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

   $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
   $sddcManagerUser = "[email protected]"
   $sddcManagerPass = "VMw@re1!"
   
   # Replace with the name of your management domain
   $sddcDomainName = "sfo-m01"
   
   $rootPass = "VMw@re1!"
   $maxFailures = "3"
   $unlockInterval = "86400"
   $rootUnlockInterval = "300"
   

3. Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen.

   Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval