Für ESXi-Hosts müssen Sie ein Kennwort mit vordefinierten Anforderungen verwenden. Mithilfe der erweiterten Option Security.PasswordQualityControl können Sie die erforderliche Länge und die erforderliche Zeichenklasse ändern sowie Kennwortsätze erlauben. Sie können auch die Anzahl der Kennwörter festlegen, die für jeden Benutzer gespeichert werden soll. Verwenden Sie dazu die erweiterte Option Security.PasswordHistory.
ESXi-Kennwörter
ESXi erzwingt Kennwortanforderungen für den Zugriff über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell, SSH oder den VMware Host Client.
- Beim Erstellen eines Kennworts müssen Sie standardmäßig Zeichen aus vier Zeichenklassen verwenden: Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen (z. B. Unter- oder Schrägstriche).
- Standardmäßig beträgt die Kennwortlänge mehr als 7 und weniger als 40 Zeichen.
- Kennwörter dürfen kein Wort aus einem Wörterbuch und keinen Teil eines Worts aus einem Wörterbuch enthalten.
Beispiele für ESXi-Kennwörter
retry=3 min=disabled,disabled,disabled,7,7Mit dieser Einstellung sind Kennwörter mit einer oder zwei Zeichenklassen sowie Kennwortsätze nicht zulässig, da die ersten drei Elemente deaktiviert sind. Kennwörter mit drei oder vier Zeichenklassen erfordern sieben Zeichen. Weitere Informationen finden Sie auf der Manpage zu pam_passwdqc.
- xQaTEhb!: Enthält acht Zeichen aus drei Zeichenklassen.
- xQaT3#A: Enthält sieben Zeichen aus vier Zeichenklassen.
- Xqat3hi: Beginnt mit einem Großbuchstaben, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
- xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
ESXi-Kennwortsatz
Anstelle eines Kennworts können Sie auch einen Kennwortsatz verwenden. Kennwortsätze sind jedoch standardmäßig deaktiviert. Diesen Standardwert oder sonstige Einstellungen können Sie mithilfe der erweiterten Option Security.PasswordQualityControl über den vSphere Client ändern.
Beispielsweise können Sie diese Option wie folgt ändern.
retry=3 min=disabled,disabled,16,7,7
Dieses Beispiel erlaubt Kennwortsätze mit mindestens 16 Zeichen und mindestens drei Wörtern, getrennt durch Leerzeichen.
Änderungen an der Datei /etc/pam.d/passwd werden für Legacy-Hosts weiterhin unterstützt, in zukünftigen Versionen ist dies jedoch nicht mehr der Fall. Verwenden Sie stattdessen die erweiterte Option Security.PasswordQualityControl.
Ändern der standardmäßigen Kennwortbeschränkungen
Die standardmäßige Beschränkung für Kennwörter oder Kennwortsätze können Sie mithilfe der erweiterten Option Security.PasswordQualityControl für Ihren ESXi-Host ändern. In der Dokumentation vCenter Server und Hostverwaltung finden Sie weitere Informationen zum Festlegen der erweiterten ESXi-Optionen.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Ausführliche Informationen finden Sie auf der Manpage zu pam_passwdqc.
ESXi-Kontosperrverhalten
Ab vSphere 6.0 wird das Sperren von Konten für den Zugriff über SSH und über das vSphere Web Services SDK unterstützt. Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht. Standardmäßig wird das Konto nach maximal fünf fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach 15 Minuten entsperrt.
Konfigurieren des Anmeldeverhaltens
- Security.AccountLockFailures. Maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche, bevor das Konto eines Benutzers gesperrt wird. Mit dem Wert „0“ wird das Sperren von Konten deaktiviert.
- Security.AccountUnlockTime. Die Anzahl der Sekunden, die ein Benutzer gesperrt wird.
- Security.PasswordHistory. Anzahl der für jeden Benutzer zu speichernden Kennwörter. Bei Null wird der Kennwortverlauf deaktiviert.
Weitere Informationen zum Festlegen der erweiterten ESXi-Optionen finden Sie in der Dokumentation vCenter Server und Hostverwaltung.