Authentifizierungsrichtlinien-Einstellungen

Sie können Ihre Authentifizierungsrichtlinieneinstellungen über die API und die CLI anzeigen oder anpassen.

Es gibt einige wichtige Details beim Anzeigen oder Ändern von Richtlinieneinstellungen.

Diese Funktion lässt nur eine Kennwortrichtlinie zu.
Änderungen an der Kennwortkonfiguration wirken sich sofort auf neue Benutzer aus. Nachdem Administratoren vorhandene Benutzerkennwortkonfigurationen aktualisiert haben, müssen aktuelle Benutzer die Änderungen der aktualisierten Kennwortkonfiguration befolgen.
API-Konfigurationsänderungen werden nach etwa 20 Sekunden wirksam.
Für NSX Edge werden geänderte Kennwörter nicht im Cluster synchronisiert. Sowohl CLI- als auch API-Änderungen werden in einem Knoten angezeigt.
Die Unterstützung für Appliance-Transportknoten umfasst BCG, autonome Edge oder Unified Appliances (UA). Es gibt keine Unterstützung für Änderungen der Kennwortkonfiguration des Transportknotens für den lokalen Administrator oder den Auditor-Benutzer in ESX.
Privileged Access Management (PAM) unterstützt die Einstellung der minimalen oder maximalen Kennwortlänge, aber nicht beide Einstellungen zugleich.
Die Verwendung von negativen Zahlen für Kennworteingaben legt den Mindestbereich fest, während positive Zahlen den Maximalbereich festlegen. Zum Beibehalten des vorhandenen Standardwerts lassen Sie die Antwort leer.
Wenn sie vor dem Upgrade geändert wurde, bleibt die Konfiguration der Kennwortrichtlinie für vorhandene Benutzer nach dem Upgrade unverändert. NSX Manager erzwingt in diesem Fall nicht die Standard-Kennwortrichtlinie.

Authentifizierungsrichtlinien

[API] /api/v1/node/aaa/auth-policy

[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy

[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager enthält die folgende CLI- und API-Kennwortkomplexität und Authentifizierungsbefehlsunterstützung. Diese Kennwortrichtlinienoptionen werden jetzt über alle Managementclusterknoten hinweg synchronisiert. Zum Anzeigen von Kennwortdetails sind keine Berechtigungen erforderlich. Das Ändern vorhandener Kennwortstandardwerte erfordert Administratorberechtigungen.

Weitere Informationen zu Standardbereichen und anderen Details finden Sie unter Befehlszeilenschnittstellen-Referenz zu NSX und im Handbuch zu NSX-API.

Tabelle 1. Anpassbare Optionen für die CLI-Kennwortrichtlinie
Kennwortoption	CLI-Befehl
Konfiguration der Kennwortkomplexität anzeigen oder konfigurieren	get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity Sie können bestimmte Parameter mithilfe dieser Argumente ändern: Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change):
Authentifizierungsrichtlinie anzeigen	get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout
Authentifizierungsrichtlinie konfigurieren	set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout

Tabelle 1. Anpassbare Optionen für die CLI-Kennwortrichtlinie

Kennwortoption

CLI-Befehl

Konfiguration der Kennwortkomplexität anzeigen oder konfigurieren

get password-complexity

Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module

set password-complexity

Sie können bestimmte Parameter mithilfe dieser Argumente ändern:

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):

Authentifizierungsrichtlinie anzeigen

get auth-policy cli

lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

Authentifizierungsrichtlinie konfigurieren

set auth-policy cli

 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

Tabelle 2. Anpassbare Optionen für die API-Kennwortrichtlinie
Kennwortoption	API-Befehle
Kennwortkomplexität und Autorisierungsrichtlinie anzeigen	get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 }
VMware Identity Manager(vIDM)-Autorisierungsrichtlinie anzeigen	get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname:
vIDM-Autorisierungsrichtlinie konfigurieren	set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring
Kennwortkomplexität und Autorisierungsrichtlinie konfigurieren API-Sperrzeitraum bei fehlgeschlagenen Autorisierungsversuchen (in Sekunden)	put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg>
Zeitraum zum Zurücksetzen der Sperre bei Authentifizierungsfehler	lockout_reset_period
Anzahl der zulässigen Fehler vor API-Sperre	max_auth_failures
Anzahl der numerischen Zeichen	digits
Hash-Algorithmus	hash_algorithm
Anzahl der Kleinbuchstaben	lower_chars
Sequenz gleicher Zeichen	max_repeats
Maximale monotone Zeichenfolge (1234 oder DCBA)	max_sequence
Maximale Kennwortlänge	maximum_password_length
Minimale Kennwortlänge	minimum_password_length
Mindestens eindeutige Zeichen	minimum_unique_chars
Mindestanzahl für Wiederverwendung von Kennwörtern	password_remembrance Im Falle von 0 ist die Prüfung auf vorherige Kennwörter deaktiviert, und Benutzer können jedes vorherige Kennwort wiederverwenden. Standard. Wenn Sie eine Zahl eingeben, kann der Benutzer diese Anzahl vorheriger Kennwörter nicht wiederverwenden. Wenn Sie beispielsweise „2“ eingeben, kann der Benutzer die letzten beiden Kennwörter nicht wiederverwenden.
Anzahl der Sonderzeichen	special_chars
Anzahl der Großbuchstaben	upper_chars
Kennwortkomplexität, die Authentifizierungsrichtlinie oder beides zurücksetzen	Für Knoten, Transportknoten und Cluster: reset-password-complexity reset-auth-policies reset-all