Mit einer Kennwortablaufrichtlinie wird der Zeitraum festgelegt, in dem das Kennwort eines Kontos verwendet werden kann, bevor das System eine Kennwortänderung erzwingt. Sie definieren diese Richtlinie gemäß der Verwaltungskomponente der VMware Cloud Foundation-Instanz auf globaler Ebene oder auf lokaler Benutzerebene.
| Verwaltungskomponente |
Einstellungen für Kennwortablauf |
Geltungsbereich |
|---|---|---|
| ESXi |
Intervall für Kennwortablauf (Tage) |
Lokale Benutzer |
| vCenter Single Sign-On |
Intervall für Kennwortablauf (Tage) |
Global |
| vCenter Server |
|
|
| NSX Manager |
Intervall für Kennwortablauf (Tage) |
Lokale Benutzer |
| NSX Edge |
Intervall für Kennwortablauf (Tage) |
Lokale Benutzer |
| SDDC Manager |
|
Lokale Benutzer |
Voraussetzungen
Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von Kennwortrichtlinien.
Konfigurieren der Kennwortablaufrichtlinie des lokalen Benutzers für ESXi
Legen Sie das Zeitintervall fest, bevor das Kennwort eines lokalen Benutzers auf einem ESXi-Host in VMware Cloud Foundation abläuft und eine Änderung erzwungen wird.
Einstellung |
Standardwert |
|---|---|
Security.PasswordMaxDays |
99999 |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
- Navigieren Sie in der Bestandsliste Hosts und Cluster zum ersten vSphere-Cluster und erweitern Sie diesen.
Wählen Sie den ersten ESXi-Host aus und klicken Sie auf die Registerkarte Konfigurieren.
Klicken Sie im Bereich System auf Erweiterte Systemeinstellungen.
Klicken Sie auf der Registerkarte Erweiterte Systemeinstellungen auf Bearbeiten.
Geben Sie Security.PasswordMaxDays im Textfeld „Schlüsselfilter“ sowie einen Wert für die Einstellung entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf OK.
Wiederholen Sie diesen Vorgang für die verbleibenden Hosts im Cluster.
-
Wiederholen Sie dieses Verfahren in allen verbleibenden Clustern in der Arbeitslastdomäne.
-
Wiederholen Sie dieses Verfahren für alle Cluster in den verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
Starten Sie die Windows PowerShell-Konsole.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $maxDays = "99999"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-EsxiPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -maxDays $maxDays
Wiederholen Sie dieses Verfahren für alle verbleibenden Cluster in der
$sddcDomainName-Arbeitslastdomäne.Wiederholen Sie dieses Verfahren für alle Cluster in den verbleibenden Arbeitslastdomänen.
Konfigurieren der Kennwortablaufrichtlinie für vCenter Single Sign-On
Legen Sie das Zeitintervall fest, bevor das Kennwort eines Benutzerkontos in der vsphere.local-Domäne in VMware Cloud Foundation abläuft und eine Änderung erzwungen wird.
Die Kennwortablaufrichtlinie gilt nur für die Benutzerkonten in der vsphere.local-Domäne des integrierten vCenter Single Sign-On-Identitätsanbieters. Die Richtlinie gilt nicht für lokale Systemkonten und [email protected].
SDDC Manager erstellt dedizierte Dienstkonten innerhalb des integrierten vCenter Single Sign-On-Identitätsanbieters. Das Ändern der Kennwortablaufrichtlinie wirkt sich auch auf diese Dienstkonten aus.
Einstellung |
Standardwert |
|---|---|
Maximale Lebensdauer |
90 |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
- Wählen Sie im Menü des vSphere Client die Option Verwaltung aus.
Klicken Sie im Abschnitt Single Sign-On auf Konfiguration.
Klicken Sie auf der Seite Konfiguration auf die Registerkarte Lokale Konten.
Klicken Sie im Abschnitt Kennwortrichtlinie auf Bearbeiten
Geben Sie einen Wert für die Einstellungen Maximale Lebensdauer entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf Speichern.
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-SsoPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays
Konfigurieren der globalen Kennwortablaufrichtlinie für vCenter Server
Legen Sie global das Zeitintervall fest, bevor die Kennwörter der lokalen Benutzerkonten auf einer vCenter Server Appliance in VMware Cloud Foundation ablaufen und eine Änderung erzwungen wird.
Einstellung |
Standardwert |
|---|---|
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
Mindestanzahl an Tagen zwischen Kennwortänderungen |
0 |
Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird |
7 |
Sie können die globale Kennwortablaufrichtlinie für vCenter Server nur mithilfe der API konfigurieren.
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90" $minDays = "0" $warningDays = "7"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-VcenterPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays -minDays $minDays -warnDays $warningDays
- Wiederholen Sie diese Verfahren für die verbleibenden Arbeitslastdomänen.
Konfigurieren der Kennwortablaufrichtlinie des Root-Benutzers für vCenter Server
Legen Sie das Zeitintervall fest, bevor das Kennwort des Root-Kontos der vCenter Server Appliances in VMware Cloud Foundation abläuft und eine Änderung erzwungen wird.
| Einstellung |
Standardwert |
|---|---|
| Gültigkeit des Kennworts (Tage) |
90 |
| E-Mail-Adresse für Warnung zum Ablauf |
- |
| Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird |
7 |
Voraussetzungen
Konfigurieren Sie die vCenter Server-Zielinstanz mit einem sendenden E-Mail-Konto unter Allgemein auf der Registerkarte Konfigurieren im vSphere Client.
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Verwaltungsschnittstelle unter https://<vcenter_server_fqdn>:5480 als root an.
Klicken Sie im Navigationsbereich auf Verwaltung.
Klicken Sie im Abschnitt Einstellungen für Kennwortablauf auf Bearbeiten.
Konfigurieren Sie die Einstellungen entsprechend den Anforderungen Ihrer Organisation und klicken Sie auf Speichern.
Melden Sie sich bei der Konsole der vCenter Server Appliance mit SSH als Root-Benutzer an.
Aktivieren Sie Shell-Zugriff.
shell
Ändern Sie mithilfe des folgenden Befehls die Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird.
chage --warndays <your_value> root
Wiederholen Sie diesen Vorgang für alle verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $email = "[email protected]" $maxDays = "90" $warningDays = "7"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-VcenterRootPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -email $email -maxDays $maxDays -warnDays $warningdays
- Wiederholen Sie diesen Vorgang für alle verbleibenden Arbeitslastdomänen.
Konfigurieren der Kennwortablaufrichtlinie des lokalen Benutzers für NSX Manager
Konfigurieren Sie die Kennwortablaufrichtlinie für lokale Benutzer von NSX Manager in VMware Cloud Foundation. Sie konfigurieren die Richtlinie auf Benutzerbasis für die integrierten NSX-Konten.
Benutzer |
Einstellung |
Standardwert |
|---|---|---|
Root |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
admin |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
audit |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
guestuser1 |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
guestuser2 |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Verwaltungsdomäne unter https://<management_vcenter_server_fqdn>/ui an, indem Sie ein Konto mit Administratorrechten verwenden.
- Erweitern Sie in der VMs und Vorlagen-Bestandsliste die vCenter Server-Struktur und erweitern Sie das Datencenter der Verwaltungsdomäne.
Erweitern Sie den VM-Ordner mit dem NSX Manager-Cluster für die Verwaltungsdomäne.
Wählen Sie den ersten Knoten des NSX Manager-Clusters aus und klicken Sie auf Web-Konsole starten.
Melden Sie sich beim NSX Manager-Knoten als admin an.
Ändern Sie die maximale Anzahl an Tagen zwischen der Kennwortänderung mithilfe des folgenden Befehls.
set user root password-expiration <your_value>
Die Änderung wird auf die anderen Knoten im NSX Manager-Cluster repliziert.
Wiederholen Sie diesen Vorgang für die verbleibenden lokalen Konten.
Wiederholen Sie dieses Verfahren in den NSX Local Manager-Clustern für alle VI-Arbeitslastdomänen.
Wiederholen Sie diesen Vorgang in allen NSX Global Manager-Clustern.
PowerShell-Verfahren
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-NsxtManagerPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays
Wiederholen Sie diesen Vorgang für die NSX Local Manager-Cluster für alle VI-Arbeitslastdomänen.
Konfigurieren Sie die Richtlinien für den Kennwortablauf manuell auf allen NSX Global Manager-Clustern in der Appliance-Konsole des ersten Knotens jedes Clusters.
Konfigurieren der Kennwortablaufrichtlinie des lokalen Benutzers für NSX Edge
Konfigurieren Sie den Kennwortablauf für lokale NSX Edge-Benutzer in VMware Cloud Foundation. Sie konfigurieren den Kennwortablauf auf Benutzerbasis für die integrierten NSX-Konten.
Benutzer |
Einstellung |
Standardwert |
|---|---|---|
Root |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
admin |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
audit |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
guestuser1 |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
guestuser2 |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
Verfahren der Benutzeroberfläche
- Wenn Sie eine virtuelle NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe der Web-Konsole im vSphere Client.
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
- Navigieren Sie in der Bestandsliste VMs und Vorlagen zum VM-Ordner, der die NSX Edge-Knoten für die Arbeitslastdomäne enthält, und erweitern Sie den Ordner.
-
Wählen Sie den ersten Knoten des NSX Edge-Clusters aus und klicken Sie auf Web-Konsole starten.
- Wenn Sie eine Bare-Metal-NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe einer Out-of-Band-Verwaltungsschnittstelle wie beispielsweise iLO oder iDRAC.
Melden Sie sich beim NSX Edge-Knoten als admin an.
Ändern Sie die maximale Anzahl an Tagen zwischen der Kennwortänderung mithilfe des folgenden Befehls.
set user root password-expiration <your_value>
Wiederholen Sie diesen Vorgang für die verbleibenden lokalen Konten.
Wiederholen Sie dieses Verfahren auf den verbleibenden NSX Edge-Knoten im Cluster der Arbeitslastdomäne.
Wiederholen Sie dieses Verfahren auf allen NSX Edge-Clustern in den verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
Sie können den PowerShell-Befehl verwenden, um die Richtlinien für den Kennwortablauf nur auf den NSX Edge-Knoten in VMware Cloud Foundation zu konfigurieren, die mithilfe von SDDC Manager bereitgestellt werden. Konfigurieren Sie für virtuelle NSX Edge-Appliances, die manuell bereitgestellt werden, und für Bare-Metal-NSX Edge-Appliances die Richtlinien manuell gemäß der NSX-Dokumentation.
Starten Sie Windows PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-NsxtEdgePasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays
Wiederholen Sie dieses Verfahren für alle NSX Edge-Cluster in den verbleibenden Arbeitslastdomänen.
Konfigurieren der Kennwortablaufrichtlinie des lokalen Benutzers für SDDC Manager
Konfigurieren Sie den Kennwortablauf für SDDC Manager auf Benutzerbasis für lokale Benutzer.
Benutzer |
Einstellung |
Standardwert |
|---|---|---|
Root |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
Mindestanzahl an Tagen zwischen Kennwortänderungen |
0 |
|
Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird |
7 |
|
VCF |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
Mindestanzahl an Tagen zwischen Kennwortänderungen |
0 |
|
Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird |
7 |
|
Sicherung |
Maximale Anzahl an Tagen zwischen Kennwortänderungen |
90 |
Mindestanzahl an Tagen zwischen Kennwortänderungen |
0 |
|
Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird |
7 |
Verfahren der Benutzeroberfläche
- Melden Sie sich mithilfe von SSH bei der SDDC Manager-Appliance als vcf an.
- Wechseln Sie zum root-Benutzer.
su -
- Ändern Sie die maximale Anzahl an Tagen zwischen der Kennwortänderung mithilfe des folgenden Befehls.
chage --maxdays <your_value> root
- Ändern Sie die Mindestanzahl an Tagen zwischen der Kennwortänderung mithilfe des folgenden Befehls.
chage --mindays <your_value> root
- Ändern Sie mithilfe des folgenden Befehls die Anzahl der Tage, an denen vor dem Ablauf des Kennworts gewarnt wird.
chage --warndays <your_value> root
- Wiederholen Sie diesen Vorgang für die verbleibenden lokalen Konten.
PowerShell-Verfahren
- Starten Sie Windows PowerShell.
- Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $vmName = "sfo-vcf01" $guestuser = "root" $guestPassword = "VMw@re1!” $localUsers = @("root","vcf","backup") $maxDays = "90" $minDays = "0" $warningDays = "7"
- "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-LocalUserPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -vmName $vmName -guestUser $guestUser -guestPassword $guestPassword -localUser $localUsers -minDays $minDays -maxDays $maxDays -warnDays $warningDays
