Für ESXi-Hosts müssen Sie ein Kennwort mit vordefinierten Anforderungen verwenden. Mithilfe der erweiterten Option Security.PasswordQualityControl können Sie die erforderliche Länge und die erforderliche Zeichenklasse ändern sowie Kennwortsätze erlauben. Sie können auch die Anzahl der Kennwörter festlegen, die für jeden Benutzer gespeichert werden soll. Verwenden Sie dazu die erweiterte Option Security.PasswordHistory.

ESXi verwendet das Linux-PAM-Modul pam_passwdqc für die Verwaltung und Kontrolle der Kennwörter. Ausführliche Informationen finden Sie auf der Manpage zu pam_passwdqc.
Hinweis: Die Standardanforderungen für ESXi-Kennwörter können versionsabhängig variieren. Mit der erweiterten Option Security.PasswordQualityControl können Sie die standardmäßigen Kennwortbeschränkungen prüfen und ändern.

ESXi-Kennwörter

ESXi erzwingt Kennwortanforderungen für den Zugriff über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell, SSH oder den VMware Host Client.

  • Beim Erstellen eines Kennworts müssen Sie standardmäßig Zeichen aus vier Zeichenklassen verwenden: Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen (z. B. Unter- oder Schrägstriche).
  • Standardmäßig beträgt die Kennwortlänge mehr als 7 und weniger als 40 Zeichen.
  • Kennwörter dürfen kein Wort aus einem Wörterbuch und keinen Teil eines Worts aus einem Wörterbuch enthalten.
Hinweis: Wenn ein Kennwort mit einem Großbuchstaben beginnt, wird dieser bei der Berechnung der verwendeten Zeichenklassen nicht berücksichtigt. Endet ein Kennwort mit einer Ziffer, wird diese bei der Berechnung der verwendeten Zeichenklassen ebenfalls nicht berücksichtigt.

Beispiele für ESXi-Kennwörter

Die folgenden Beispielkennwörter veranschaulichen potenzielle Kennwörter, wenn die Option wie folgt festgelegt ist.
retry=3 min=disabled,disabled,disabled,7,7
Mit dieser Einstellung sind Kennwörter mit einer oder zwei Zeichenklassen sowie Kennwortsätze nicht zulässig, da die ersten drei Elemente deaktiviert sind. Kennwörter mit drei oder vier Zeichenklassen erfordern sieben Zeichen. Weitere Informationen finden Sie auf der Manpage zu pam_passwdqc.
Mit diesen Einstellungen sind die folgenden Kennwörter zulässig.
  • xQaTEhb!: Enthält acht Zeichen aus drei Zeichenklassen.
  • xQaT3#A: Enthält sieben Zeichen aus vier Zeichenklassen.
Die folgenden Beispielkennwörter entsprechen nicht den Anforderungen.
  • Xqat3hi: Beginnt mit einem Großbuchstaben, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
  • xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.

ESXi-Kennwortsatz

Anstelle eines Kennworts können Sie auch einen Kennwortsatz verwenden. Kennwortsätze sind jedoch standardmäßig deaktiviert. Diesen Standardwert oder sonstige Einstellungen können Sie mithilfe der erweiterten Option Security.PasswordQualityControl über den vSphere Client ändern.

Beispielsweise können Sie diese Option wie folgt ändern.

retry=3 min=disabled,disabled,16,7,7

Dieses Beispiel erlaubt Kennwortsätze mit mindestens 16 Zeichen und mindestens drei Wörtern, getrennt durch Leerzeichen.

Änderungen an der Datei /etc/pam.d/passwd werden für Legacy-Hosts weiterhin unterstützt, in zukünftigen Versionen ist dies jedoch nicht mehr der Fall. Verwenden Sie stattdessen die erweiterte Option Security.PasswordQualityControl.

Ändern der standardmäßigen Kennwortbeschränkungen

Die standardmäßige Beschränkung für Kennwörter oder Kennwortsätze können Sie mithilfe der erweiterten Option Security.PasswordQualityControl für Ihren ESXi-Host ändern. In der Dokumentation vCenter Server und Hostverwaltung finden Sie weitere Informationen zum Festlegen der erweiterten ESXi-Optionen.

Sie können den Standardwert wie folgt ändern, damit beispielsweise mindestens 15 Zeichen und mindestens vier Wörter erforderlich sind:
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Ausführliche Informationen finden Sie auf der Manpage zu pam_passwdqc.
Hinweis: Nicht alle möglichen Kombinationen der Optionen für pam_passwdqc wurden getestet. Führen Sie zusätzliche Tests durch, nachdem Sie Änderungen an den Einstellungen für das Standardkennwort vorgenommen haben.

ESXi-Kontosperrverhalten

Ab vSphere 6.0 wird das Sperren von Konten für den Zugriff über SSH und über das vSphere Web Services SDK unterstützt. Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht. Standardmäßig wird das Konto nach maximal fünf fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach 15 Minuten entsperrt.

Konfigurieren des Anmeldeverhaltens

Das Anmeldeverhalten für Ihren ESXi-Host können Sie mit den folgenden erweiterten Optionen konfigurieren:
  • Security.AccountLockFailures. Maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche, bevor das Konto eines Benutzers gesperrt wird. Mit dem Wert „0“ wird das Sperren von Konten deaktiviert.
  • Security.AccountUnlockTime. Die Anzahl der Sekunden, die ein Benutzer gesperrt wird.
  • Security.PasswordHistory. Anzahl der für jeden Benutzer zu speichernden Kennwörter. Bei Null wird der Kennwortverlauf deaktiviert.

Weitere Informationen zum Festlegen der erweiterten ESXi-Optionen finden Sie in der Dokumentation vCenter Server und Hostverwaltung.