Als Sicherheitsmaßnahme können Sie Kennwörter für die Komponenten in Ihrer VMware Cloud Foundation-Instanz rotieren. Bei der Kennwortrotation werden zufällige Kennwörter für die ausgewählten Konten erzeugt. Sie können Kennwörter manuell rotieren, oder die automatische Rotation für Konten, die von SDDC Manager verwaltet werden.

Sie können Kennwörter für die folgenden Konten rotieren.

  • VxRail Manager
  • ESXi
    Hinweis: Die automatische Rotation wird für ESXi nicht unterstützt.
  • vCenter Server

    Standardmäßig läuft das vCenter Server-Root-Kennwort nach 90 Tagen ab.

    Hinweis: Die automatische Rotation wird für vCenter Server-Dienstkonten automatisch aktiviert. Es kann bis zu 24 Stunden dauern, bis die Richtlinie für die automatische Rotation des Dienstkontos für einen neu bereitgestellten vCenter Server konfiguriert ist.
  • vSphere Single Sign-On (PSC)
  • NSX Edge-Knoten
  • NSX Manager
  • VMware Avi Load Balancer (ehemals NSX Advanced Load Balancer)
  • VMware Aria Suite Lifecycle
  • VMware Aria Operations for Logs
  • VMware Aria Operations
  • VMware Aria Automation
  • Workspace ONE Access
    Hinweis: Bei Workspace ONE Access-Kennwörtern variiert die Methode der Kennwortrotation je nach Benutzerkonto. Weitere Details finden Sie in der folgenden Tabelle.
  • SDDC Manager-Backup-Benutzer
Tabelle 1. Details zur Kennwortrotation für Workspace ONE Access-Benutzerkonten

Workspace ONE Access-Benutzerkonto

Eintrag im VMware Aria Suite Lifecycle-Locker

Kennwortrotationsmethode

Geltungsbereich der Kennwortrotation

admin (443)

xint-wsa-admin

SDDC Manager-Kennwortrotation

Anwendung

admin (8443)

xint-wsa-admin

Globale VMware Aria Suite Lifecycle-Umgebung

Pro Knoten

configadmin (443)

xint-wsa-configadmin
  1. Setzen Sie das Benutzerkennwort configadmin in Workspace ONE Access über den Link zum Zurücksetzen der E-Mail zurück.
  2. Erstellen Sie ein neues Anmeldedatenobjekt in VMware Aria Suite Lifecycle-Locker, das dem neuen Kennwort entspricht.
  3. Aktualisieren Sie das von globalEnvironment in VMware Aria Suite Lifecycle-Locker referenzierte Anmeldedatenobjekt auf das neue Anmeldedatenobjekt.

Anwendung

sshuser-

global-env-admin

Globale VMware Aria Suite Lifecycle-Umgebung

Pro Knoten

root (ssh)

xint-wsa-root

SDDC Manager-Kennwortrotation

Pro Knoten
Die Standardkennwortrichtlinie für rotierte Kennwörter erfordert:
  • 20 Zeichen
  • Mindestens ein Großbuchstabe, eine Zahl und eines der folgenden Sonderzeichen: ! @ # $ ^ *
  • Nicht mehr als zwei der gleichen Zeichen hintereinander

Wenn Sie die Länge des vCenter Server-Kennworts mit dem vSphere Client oder die Länge des ESXi-Kennworts mit dem VMware Host Client geändert haben, wird beim Rotieren des Kennworts für diese SDDC Manager-Komponenten ein Kennwort generiert, das mit der von Ihnen angegebenen Kennwortlänge übereinstimmt.

Informationen zum Aktualisieren der SDDC Manager-Root-, Superuser- und API-Kennwörter finden Sie unter Aktualisieren von SDDC Manager-Kennwörtern.

Voraussetzungen

  • Stellen Sie sicher, dass derzeit keine fehlgeschlagenen Workflows in SDDC Manager vorhanden sind. Um nach fehlgeschlagenen Workflows zu suchen, klicken Sie im Navigationsbereich auf Dashboard und erweitern Sie den Bereich Aufgaben unten auf der Seite.
  • Vergewissern Sie sich, dass während des kurzen Zeitraums, in dem der Kennwortrotationsvorgang ausgeführt wird, keine aktiven Workflows ausgeführt werden oder für die Ausführung vorgesehen sind. Es wird empfohlen, die Kennwortrotation für einen Zeitraum zu planen, in dem Sie erwarten, dass keine Workflows ausgeführt werden.
  • Nur ein Benutzer mit der Rolle ADMIN kann diese Aufgabe ausführen.

Prozedur

  1. Klicken Sie im Navigationsbereich auf Sicherheit > Kennwortverwaltung.
  2. Wählen Sie ein oder mehrere Konten aus und klicken Sie auf einen der folgenden Vorgänge.
    • Jetzt rotieren
    • Rotation planen
      Sie können das Kennwortrotationsintervall festlegen (30 Tage, 60 Tage oder 90 Tage). Sie können den Zeitplan auch deaktivieren.
      Hinweis: Die Option Rotation planen ist für ESXi nicht verfügbar.
      Hinweis: Der Zeitplan für die automatische Rotation ist für die Ausführung um Mitternacht am geplanten Datum konfiguriert. Wenn die automatische Rotation aufgrund eines technischen Problems nicht gestartet werden konnte, ist ein stündlicher automatischer Wiederholungsversuch bis zum Beginn des nächsten Tages vorgesehen. Falls die Zeitplanrotation aufgrund technischer Probleme nicht eingehalten werden kann, zeigt die Benutzeroberfläche eine globale Benachrichtigung mit dem Status der fehlgeschlagenen Aufgabe an. Der Status der Zeitplanrotation kann auch im Bereich „Aufgaben“ überprüft werden.
    Oben auf der Seite wird eine Meldung mit dem Fortschritt des Vorgangs angezeigt. Im Bereich „Aufgaben“ werden auch detaillierte Statusinformationen für den Vorgang der Kennwortrotation angezeigt. Um Unteraufgaben anzuzeigen, klicken Sie auf den Namen der Aufgabe. Wenn jede dieser Aufgaben ausgeführt wird, wird der Status aktualisiert. Wenn die Aufgabe fehlschlägt, können Sie auf Wiederholen klicken.

Ergebnisse

Die Kennwortrotation ist abgeschlossen, wenn alle Unteraufgaben erfolgreich abgeschlossen wurden.