Mit einer Kontosperrungsrichtlinie wird das Verhalten des Systems festgelegt, wenn falsche Anmeldedaten zur Authentifizierung beim System verwendet werden. Die Einstellungen unterscheiden sich je nach Kontotyp und Komponente der VMware Cloud Foundation-Instanz.
Verwaltungskomponente | Einstellungen für Kontosperrungsrichtlinien | Geltungsbereich |
---|---|---|
ESXi |
|
Lokaler Benutzer |
vCenter Single Sign-On |
|
vCenter Single Sign-On-Domäne |
vCenter Server |
|
Lokaler Benutzer |
NSX Manager |
|
Lokaler Benutzer |
NSX Edge |
|
Lokaler Benutzer |
SDDC Manager |
|
Lokaler Benutzer |
Voraussetzungen
Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von Kennwortrichtlinien.
Konfigurieren der Sperrrichtlinie des lokalen Kontos für ESXi
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche und die Zeit fest, die vergehen muss, bevor ein lokales Konto in VMware Cloud Foundation automatisch entsperrt wird.
Einstellung |
Standardwert |
---|---|
Security.AccountLockFailures |
5 |
Security.AccountUnlockTime |
900 |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
Navigieren Sie in der Bestandsliste Hosts und Cluster zum ersten vSphere-Cluster und erweitern Sie diesen.
Wählen Sie den ersten ESXi-Host aus und klicken Sie auf die Registerkarte Konfigurieren.
Klicken Sie im Bereich System auf Erweiterte Systemeinstellungen.
Klicken Sie auf der Registerkarte Erweiterte Systemeinstellungen auf Bearbeiten.
Geben Sie Security.AccountLockFailures im Textfeld „Schlüsselfilter“ sowie einen Wert entsprechend den Anforderungen Ihrer Organisation ein.
Geben Sie Security.AccountUnlockTime im Textfeld „Schlüsselfilter“ sowie einen Wert entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf OK.
Wiederholen Sie diesen Vorgang für die verbleibenden Hosts im Cluster.
Wiederholen Sie diesen Vorgang für die verbleibenden Clustern in der Arbeitslastdomäne.
Wiederholen Sie diesen Vorgang für alle Cluster in den verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
Starten Sie PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $maxFailures = "5" $unlockInterval = "900"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval
Wiederholen Sie diesen Vorgang für alle verbleibenden Cluster in der
$sddcDomainName
-Arbeitslastdomäne.Wiederholen Sie diesen Vorgang für alle Cluster in den verbleibenden Arbeitslastdomänen.
Konfigurieren der Kontosperrungsrichtlinie für vCenter Single Sign-On
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche und das Zeitintervall zwischen den Fehlversuchen für ein Benutzerkonto in der vsphere.local-Domäne in VMware Cloud Foundation fest. Legen Sie auch die Zeit fest, die vergehen muss, bevor das Konto automatisch entsperrt wird.
Einstellung | Standardwert |
---|---|
Maximale Anzahl der fehlgeschlagenen Anmeldeversuche | 5 |
Zeitintervall zwischen fehlgeschlagenen Versuchen | 180 Sekunden |
Entsperrzeit | 900 Sekunden |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
- Wählen Sie im Menü des vSphere Client die Option Verwaltung aus.
- Klicken Sie im Abschnitt Single Sign-On auf Konfiguration.
- Klicken Sie auf der Seite Konfiguration auf die Registerkarte Lokale Konten.
- Klicken Sie im Abschnitt Sperrrichtlinie auf Bearbeiten.
- Geben Sie die Werte für die Einstellungen entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf Speichern.
PowerShell-Verfahren
- Starten Sie PowerShell.
- Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $failureAttemptInterval = "180" $unlockInterval = "900"
- "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval
Konfigurieren der Kontosperrungsrichtlinie des Root-Benutzers für vCenter Server
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche und die Zeit fest, die vergehen muss, bevor das Konto für das lokale Root-Konto in den vCenter Server Appliances in VMware Cloud Foundation automatisch entsperrt wird.
Einstellung |
Standardwert |
---|---|
Maximale Anzahl der fehlgeschlagenen Anmeldeversuche |
3 |
Entsperrzeit für Root |
300 Sekunden |
Entsperrzeit |
900 Sekunden |
Verfahren der Benutzeroberfläche
Melden Sie sich bei der vCenter Server Appliance mit SSH als Root-Benutzer an.
Aktivieren Sie Shell-Zugriff.
shell
Sichern Sie die Authentifizierungsanforderungen für die Appliance mit dem folgenden Befehl.
cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back
Stellen Sie sicher, dass alle Einstellungen zum Konfigurieren der Kontosperrungsrichtlinie für den root-Benutzer zur Datei /etc/security/faillock.conf hinzugefügt wurden.
Wenn bestimmte Eigenschaften in der Datei /etc/security/faillock.conf fehlen, fügen Sie sie manuell hinzu.
dir = /var/log/faillock audit silent deny = 3 unlock_time = 1200 even_deny_root root_unlock_time = 300 fail_interval = 900
- Legen Sie gemäß den Anforderungen Ihrer Organisation zum Konfigurieren der Sperrrichtlinie für das Root-Benutzerkonto Werte in der Datei /etc/security/faillock.conf auf die folgenden Eigenschaften fest und speichern Sie die Datei.
Einstellung Eigenschaft in /etc/security/faillock.conf Maximale Anzahl an Fehlversuchen ablehnen Entsperrzeit für das Root-Benutzerkonto root_unlock_time Entsperrzeit für alle lokalen Konten unlock_time Wiederholen Sie dieses Verfahren für jeden vCenter Server der Arbeitslastdomäne.
PowerShell-Verfahren
Starten Sie PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $rootUnlockInterval = "300" $unlockInterval = "900"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval
Wiederholen Sie dieses Verfahren für jeden vCenter Server der Arbeitslastdomäne.
Konfigurieren der Sperrrichtlinie für lokale Benutzerkonten für NSX Manager
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche und die Zeit fest, die verstreichen muss, bevor ein Konto für die lokalen Benutzer der NSX Manager-Appliances in VMware Cloud Foundation entsperrt wird.
Methode |
Einstellung |
Standardwert |
---|---|---|
API |
max-auth-failures |
5 |
lockout-reset-period |
180 Sekunden |
|
spout-period |
900 Sekunden |
|
CLI |
max-auth-failures |
5 |
spout-period |
900 Sekunden |
Verfahren der Benutzeroberfläche
- Melden Sie sich bei der vCenter Server-Verwaltungsdomäne unter https://<management_vcenter_server_fqdn>/ui an, indem Sie ein Konto mit Administratorrechten verwenden.
- Erweitern Sie in der VMs und Vorlagen-Bestandsliste die vCenter Server-Struktur und erweitern Sie das Datencenter der Verwaltungsdomäne.
Erweitern Sie den VM-Ordner mit dem NSX Manager-Cluster.
Wählen Sie den ersten Knoten des NSX Manager-Clusters aus und klicken Sie auf Web-Konsole starten.
Melden Sie sich beim NSX Manager-Knoten als admin an.
Führen Sie die folgenden Befehle aus, um die Kontosperrrichtlinie für die Anmeldung oder die Durchführung einer API-Anforderung an die NSX Manager-Benutzeroberfläche gemäß den Anforderungen Ihrer Organisation zu konfigurieren.
set auth-policy api lockout-period <lockout-period> set auth-policy api lockout-reset-period <lockout-reset-period> set auth-policy api max-auth-failures <auth-failures>
Führen Sie die folgenden Befehle aus, um die Kontosperrrichtlinie für die Anmeldung bei der NSX-CLI gemäß den Anforderungen Ihrer Organisation zu konfigurieren.
set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
Wiederholen Sie diesen Vorgang für die verbleibenden NSX Local Manager-Knoten in der Verwaltungsdomäne.
Wiederholen Sie diesen Vorgang auf den NSX Local Manager-Knoten für alle VI-Arbeitslastdomänen.
Wiederholen Sie diesen Vorgang in allen NSX Global Manager-Clustern.
PowerShell-Verfahren
Starten Sie PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900" $apiMaxFailures = "5" $apiUnlockInterval = "900" $apiFailureInterval = "180"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval
Wiederholen Sie diesen Vorgang für alle lokalen NSX Manager-Cluster in den VI-Arbeitslastdomänen.
- Konfigurieren Sie die Kontosperrrichtlinien für alle NSX Global Manager-Cluster manuell in der Appliance-Konsole jedes Knotens.
Konfigurieren der Sperrrichtlinie für lokale Benutzerkonten für NSX Edge
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche und die Zeit fest, die verstreichen muss, bevor ein Konto für die lokalen Benutzer der NSX Edge-Appliances in VMware Cloud Foundation automatisch entsperrt wird.
Methode |
Einstellung |
Standardwert |
---|---|---|
CLI |
max-auth-failures |
5 |
spout-period |
900 Sekunden |
Verfahren der Benutzeroberfläche
Wenn Sie eine virtuelle NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe der Web-Konsole im vSphere Client.
- Melden Sie sich bei der vCenter Server-Instanz für die Arbeitslastdomäne unter https://<vcenter_server-fqdn>/ui als Administrator an.
Navigieren Sie in der Bestandsliste der VMs und Vorlagen zum VM-Ordner, der den NSX Edge-Cluster enthält, und erweitern Sie diesen.
Wählen Sie den ersten Knoten des NSX Edge-Clusters aus und klicken Sie auf Web-Konsole starten.
Wenn Sie eine Bare-Metal-NSX Edge-Appliance konfigurieren, öffnen Sie die Konsole der Appliance mithilfe einer Out-of-Band-Verwaltungsschnittstelle wie beispielsweise iLO oder iDRAC.
Melden Sie sich beim NSX Edge-Knoten als admin an.
Führen Sie die Befehle aus, um die Kontosperrrichtlinie für die Anmeldung bei der NSX-CLI entsprechend den Anforderungen Ihrer Organisation zu konfigurieren.
set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
Wiederholen Sie diesen Vorgang auf den verbleibenden NSX Edge-Knoten in der Arbeitslastdomäne.
Wiederholen Sie diesen Vorgang auf allen NSX Edge-Knoten in den verbleibenden Arbeitslastdomänen.
PowerShell-Verfahren
Sie können den PowerShell-Befehl verwenden, um die Kontosperrrichtlinien nur auf den NSX Edge-Knoten in VMware Cloud Foundation zu konfigurieren, die mithilfe von SDDC Manager bereitgestellt werden. Konfigurieren Sie für virtuelle NSX Edge-Appliances, die manuell bereitgestellt werden, und für Bare-Metal-NSX Edge-Appliances die Richtlinien manuell gemäß der NSX-Dokumentation.
Starten Sie PowerShell.
Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900"
"Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval
Wiederholen Sie diesen Vorgang für alle verbleibenden Arbeitslastdomänen.
Konfigurieren der Sperrrichtlinie für lokale Benutzerkonten für SDDC Manager
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche und die Zeit fest, die verstreichen muss, bevor ein Konto auf der SDDC Manager-Appliance automatisch entsperrt wird.
Einstellung |
Standardwert |
---|---|
Maximale Anzahl der fehlgeschlagenen Anmeldeversuche |
3 |
Entsperrzeit für Root |
300 Sekunden |
Entsperrzeit für alle lokalen Konten |
86400 Sekunden |
Verfahren der Benutzeroberfläche
- Melden Sie sich mithilfe von SSH bei der SDDC Manager-Appliance als vcf an.
- Wechseln Sie zum root-Benutzer.
su -
- Sichern Sie die Authentifizierungsanforderungen für die Appliance mit dem folgenden Befehl.
cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back
Stellen Sie sicher, dass alle Eigenschaften zum Konfigurieren der Kontosperrungsrichtlinie für SDDC Manager-Benutzer zur Datei /etc/security/faillock.conf hinzugefügt werden.
Wenn bestimmte Eigenschaften in der Datei /etc/security/faillock.conf fehlen, fügen Sie sie manuell hinzu.
# Configuration for locking the user after multiple failed # authentication attempts. # # The directory where the user files with the failure records are kept. # The default is /var/run/faillock. . . . . # admin_group = <admin_group_name> dir = /run/faillock deny = 3 unlock_time = 86400 even_deny_root root_unlock_time = 300 dir = /var/log/faillock
- Legen Sie gemäß den Anforderungen Ihrer Organisation zum Konfigurieren der Sperrrichtlinie für das Root-Benutzerkonto Werte in der Datei /etc/security/faillock.conf auf die folgenden Eigenschaften fest und speichern Sie die Datei.
Einstellung Eigenschaft in /etc/security/faillock.conf Maximale Anzahl an Fehlversuchen ablehnen Entsperrzeit für das Root-Benutzerkonto root_unlock_time Entsperrzeit für alle lokalen Konten unlock_time
Die Konfiguration wird auf alle lokalen Benutzerkonten auf der SDDC Manager-Appliance angewendet.
PowerShell-Verfahren
- Starten Sie PowerShell.
- Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $maxFailures = "3" $unlockInterval = "86400" $rootUnlockInterval = "300"
- "Führen Sie die Konfiguration durch, indem Sie den Befehl in der PowerShell-Konsole ausführen."
Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval