Sie können Ihre Authentifizierungsrichtlinieneinstellungen über die API und die CLI anzeigen oder anpassen.
Es gibt einige wichtige Details beim Anzeigen oder Ändern von Richtlinieneinstellungen.
- Diese Funktion lässt nur eine Kennwortrichtlinie zu.
- Änderungen an der Kennwortkonfiguration wirken sich sofort auf neue Benutzer aus. Nachdem Administratoren vorhandene Benutzerkennwortkonfigurationen aktualisiert haben, müssen aktuelle Benutzer die Änderungen der aktualisierten Kennwortkonfiguration befolgen.
- API-Konfigurationsänderungen werden nach etwa 20 Sekunden wirksam.
- Für NSX Edge werden geänderte Kennwörter nicht im Cluster synchronisiert. Sowohl CLI- als auch API-Änderungen werden in einem Knoten angezeigt.
- Die Unterstützung für Appliance-Transportknoten umfasst BCG, autonome Edge oder Unified Appliances (UA). Es gibt keine Unterstützung für Änderungen der Kennwortkonfiguration des Transportknotens für den lokalen Administrator oder den Auditor-Benutzer in ESX.
- Privileged Access Management (PAM) unterstützt die Einstellung der minimalen oder maximalen Kennwortlänge, aber nicht beide Einstellungen zugleich.
- Die Verwendung von negativen Zahlen für Kennworteingaben legt den Mindestbereich fest, während positive Zahlen den Maximalbereich festlegen. Zum Beibehalten des vorhandenen Standardwerts lassen Sie die Antwort leer.
- Wenn sie vor dem Upgrade geändert wurde, bleibt die Konfiguration der Kennwortrichtlinie für vorhandene Benutzer nach dem Upgrade unverändert. NSX Manager erzwingt in diesem Fall nicht die Standard-Kennwortrichtlinie.
- Authentifizierungsrichtlinien
[API] /api/v1/node/aaa/auth-policy
[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy
NSX Manager enthält die folgende CLI- und API-Kennwortkomplexität und Authentifizierungsbefehlsunterstützung. Diese Kennwortrichtlinienoptionen werden jetzt über alle Managementclusterknoten hinweg synchronisiert. Zum Anzeigen von Kennwortdetails sind keine Berechtigungen erforderlich. Das Ändern vorhandener Kennwortstandardwerte erfordert Administratorberechtigungen.
Weitere Informationen zu Standardbereichen und anderen Details finden Sie unter Befehlszeilenschnittstellen-Referenz zu NSX und im Handbuch zu NSX-API.
Kennwortoption | CLI-Befehl | |
---|---|---|
Konfiguration der Kennwortkomplexität anzeigen oder konfigurieren | get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity Sie können bestimmte Parameter mithilfe dieser Argumente ändern: Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change): |
|
Authentifizierungsrichtlinie anzeigen | get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
|
Authentifizierungsrichtlinie konfigurieren | set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
Kennwortoption | API-Befehle |
---|---|
Kennwortkomplexität und Autorisierungsrichtlinie anzeigen | get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 } |
VMware Identity Manager(vIDM)-Autorisierungsrichtlinie anzeigen | get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname: |
vIDM-Autorisierungsrichtlinie konfigurieren | set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring |
Kennwortkomplexität und Autorisierungsrichtlinie konfigurieren
|
put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg> |
|
lockout_reset_period |
|
max_auth_failures |
|
digits |
|
hash_algorithm |
|
lower_chars |
|
max_repeats |
|
max_sequence |
|
maximum_password_length |
|
minimum_password_length |
|
minimum_unique_chars |
|
password_remembrance
|
|
special_chars |
|
upper_chars |
Kennwortkomplexität, die Authentifizierungsrichtlinie oder beides zurücksetzen | Für Knoten, Transportknoten und Cluster:reset-password-complexity reset-auth-policies reset-all |