Sie können Ihre Authentifizierungsrichtlinieneinstellungen über die API und die CLI anzeigen oder anpassen.

Es gibt einige wichtige Details beim Anzeigen oder Ändern von Richtlinieneinstellungen.
  • Diese Funktion lässt nur eine Kennwortrichtlinie zu.
  • Änderungen an der Kennwortkonfiguration wirken sich sofort auf neue Benutzer aus. Nachdem Administratoren vorhandene Benutzerkennwortkonfigurationen aktualisiert haben, müssen aktuelle Benutzer die Änderungen der aktualisierten Kennwortkonfiguration befolgen.
  • API-Konfigurationsänderungen werden nach etwa 20 Sekunden wirksam.
  • Für NSX Edge werden geänderte Kennwörter nicht im Cluster synchronisiert. Sowohl CLI- als auch API-Änderungen werden in einem Knoten angezeigt.
  • Die Unterstützung für Appliance-Transportknoten umfasst BCG, autonome Edge oder Unified Appliances (UA). Es gibt keine Unterstützung für Änderungen der Kennwortkonfiguration des Transportknotens für den lokalen Administrator oder den Auditor-Benutzer in ESX.
  • Privileged Access Management (PAM) unterstützt die Einstellung der minimalen oder maximalen Kennwortlänge, aber nicht beide Einstellungen zugleich.
  • Die Verwendung von negativen Zahlen für Kennworteingaben legt den Mindestbereich fest, während positive Zahlen den Maximalbereich festlegen. Zum Beibehalten des vorhandenen Standardwerts lassen Sie die Antwort leer.
  • Wenn sie vor dem Upgrade geändert wurde, bleibt die Konfiguration der Kennwortrichtlinie für vorhandene Benutzer nach dem Upgrade unverändert. NSX Manager erzwingt in diesem Fall nicht die Standard-Kennwortrichtlinie.
  • Authentifizierungsrichtlinien
    [API] /api/v1/node/aaa/auth-policy
    [API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
    [API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager enthält die folgende CLI- und API-Kennwortkomplexität und Authentifizierungsbefehlsunterstützung. Diese Kennwortrichtlinienoptionen werden jetzt über alle Managementclusterknoten hinweg synchronisiert. Zum Anzeigen von Kennwortdetails sind keine Berechtigungen erforderlich. Das Ändern vorhandener Kennwortstandardwerte erfordert Administratorberechtigungen.

Weitere Informationen zu Standardbereichen und anderen Details finden Sie unter Befehlszeilenschnittstellen-Referenz zu NSX und im Handbuch zu NSX-API.

Tabelle 1. Anpassbare Optionen für die CLI-Kennwortrichtlinie
Kennwortoption CLI-Befehl
Konfiguration der Kennwortkomplexität anzeigen oder konfigurieren
get password-complexity
Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module
set password-complexity

Sie können bestimmte Parameter mithilfe dieser Argumente ändern:

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):        
Authentifizierungsrichtlinie anzeigen
get auth-policy cli 
lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
Authentifizierungsrichtlinie konfigurieren
set auth-policy cli
 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
Tabelle 2. Anpassbare Optionen für die API-Kennwortrichtlinie
Kennwortoption API-Befehle
Kennwortkomplexität und Autorisierungsrichtlinie anzeigen
get /api/v1/node/aaa/auth-policy 
{
 "_retry_prompt": 3,
 "_schema": "AuthenticationPolicyProperties",
 "_self": {
     "href": "/node/aaa/auth-policy",
     "rel": "self"
  },
 "api_failed_auth_lockout_period": 5,
 "api_failed_auth_reset_period": 900,
 "api_max_auth_failures": 900,
 "cli_failed_auth_lockout_period": 900,
 "cli_max_auth_failures": 5,
 "digits": -1,
 "hash_algorithm": "sha512",
 "lower_chars": -1,
 "max_repeats": 0,
 "max_sequence": 0,
 "maximum_password_length": 128,
 "minimum_password_length": 12,
 "minimum_unique_chars": 0,
 "password_remembrance": 0,
 "special_chars": -1,
 "upper_chars": -1
}
VMware Identity Manager(vIDM)-Autorisierungsrichtlinie anzeigen
get auth-policy vidm
Wed Jun 08 2022 UTC 12:58:28.357
LB Enabled: False
Enabled: False
Hostname:
Thumbprint:
Client Id:
Node Hostname:
vIDM-Autorisierungsrichtlinie konfigurieren
set auth-policy vidm
enabled  Enabled property
 hostname  System’s network name
 lb-extern External Load Balancer Flag For vIDM Wiring
Kennwortkomplexität und Autorisierungsrichtlinie konfigurieren
  • API-Sperrzeitraum bei fehlgeschlagenen Autorisierungsversuchen (in Sekunden)
put /api/v1/node/aaa/auth-policy
lockout_period <lockout-period-arg>
  • Zeitraum zum Zurücksetzen der Sperre bei Authentifizierungsfehler
lockout_reset_period
  • Anzahl der zulässigen Fehler vor API-Sperre
max_auth_failures
  • Anzahl der numerischen Zeichen
digits
  • Hash-Algorithmus
hash_algorithm
  • Anzahl der Kleinbuchstaben
lower_chars
  • Sequenz gleicher Zeichen
max_repeats
  • Maximale monotone Zeichenfolge (1234 oder DCBA)
max_sequence
  • Maximale Kennwortlänge
maximum_password_length
  • Minimale Kennwortlänge
minimum_password_length
  • Mindestens eindeutige Zeichen
minimum_unique_chars
  • Mindestanzahl für Wiederverwendung von Kennwörtern
password_remembrance
  • Im Falle von 0 ist die Prüfung auf vorherige Kennwörter deaktiviert, und Benutzer können jedes vorherige Kennwort wiederverwenden. Standard.
  • Wenn Sie eine Zahl eingeben, kann der Benutzer diese Anzahl vorheriger Kennwörter nicht wiederverwenden. Wenn Sie beispielsweise „2“ eingeben, kann der Benutzer die letzten beiden Kennwörter nicht wiederverwenden.
  • Anzahl der Sonderzeichen
special_chars
  • Anzahl der Großbuchstaben
upper_chars
Kennwortkomplexität, die Authentifizierungsrichtlinie oder beides zurücksetzen Für Knoten, Transportknoten und Cluster:
reset-password-complexity 
reset-auth-policies
reset-all