Für ESXi-Hosts müssen Sie ein Kennwort mit vordefinierten Anforderungen verwenden. Mithilfe der erweiterten Option Security.PasswordQualityControl können Sie die erforderliche Länge und die erforderliche Zeichenklasse ändern sowie Kennwortsätze erlauben. Sie können auch die Anzahl der Kennwörter festlegen, die für jeden Benutzer gespeichert werden soll. Verwenden Sie dazu die erweiterte Option Security.PasswordHistory.

Hinweis: Die Standardanforderungen für ESXi-Kennwörter können versionsabhängig variieren. Mit der erweiterten Option Security.PasswordQualityControl können Sie die standardmäßigen Kennwortbeschränkungen prüfen und ändern.

ESXi-Kennwörter

ESXi erzwingt Kennwortanforderungen für den Zugriff über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell, SSH oder den VMware Host Client.

  • Beim Erstellen eines Kennworts müssen darin standardmäßig Zeichen aus drei der vier folgenden Zeichenklassen enthalten sein: Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen (z. B. Unter- oder Schrägstriche).
  • Standardmäßig besteht ein Kennwort aus mindestens 7 und weniger als 40 Zeichen.
  • Kennwörter dürfen kein Wort aus einem Wörterbuch und keinen Teil eines Worts aus einem Wörterbuch enthalten.
  • Kennwörter dürfen den Benutzernamen oder Teile des Benutzernamens nicht enthalten.
Hinweis: Wenn ein Kennwort mit einem Großbuchstaben beginnt, wird dieser bei der Berechnung der verwendeten Zeichenklassen nicht berücksichtigt. Endet ein Kennwort mit einer Ziffer, wird diese bei der Berechnung der verwendeten Zeichenklassen ebenfalls nicht berücksichtigt. Ein Wort aus einem Wörterbuch, das in einem Kennwort verwendet wird, verringert die Sicherheit des Kennworts.

Beispiele für ESXi-Kennwörter

Die folgenden Beispielkennwörter veranschaulichen potenzielle Kennwörter, wenn die Option wie folgt festgelegt ist.
retry=3 min=disabled,disabled,disabled,7,7
Mit dieser Einstellung wird ein Benutzer bis zu drei Mal (retry=3) zur Eingabe eines neuen Kennworts aufgefordert, wenn ein Kennwort nicht ausreichend stark ist oder das Kennwort zweimal nicht korrekt eingegeben wurde. Kennwörter mit einer oder zwei Zeichenklassen und Kennwortsätzen sind nicht zulässig, da die ersten drei Elemente deaktiviert sind. Kennwörter mit drei oder vier Zeichenklassen erfordern sieben Zeichen. Weitere Informationen zu weiteren Optionen, wie z. B. max, passphrase und so weiter, finden Sie auf der pam_passwdqc-Manpage.
Mit diesen Einstellungen sind die folgenden Kennwörter zulässig.
  • xQaTEhb!: Enthält acht Zeichen aus drei Zeichenklassen.
  • xQaT3#A: Enthält sieben Zeichen aus vier Zeichenklassen.
Die folgenden Beispielkennwörter entsprechen nicht den Anforderungen.
  • Xqat3hi: Beginnt mit einem Großbuchstaben, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
  • xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.

ESXi-Kennwortsatz

Anstelle eines Kennworts können Sie auch einen Kennwortsatz verwenden. Kennwortsätze sind jedoch standardmäßig deaktiviert. Die Standardeinstellung oder sonstige Einstellungen können Sie mithilfe der erweiterten Option Security.PasswordQualityControl über den vSphere Client ändern.

Beispielsweise können Sie diese Option wie folgt ändern.

retry=3 min=disabled,disabled,16,7,7

In diesem Beispiel sind Passphrasen mit mindestens 16 Zeichen und mindestens drei Wörtern zulässig.

Änderungen an der Datei /etc/pam.d/passwd werden für Legacy-Hosts weiterhin unterstützt, in zukünftigen Versionen ist dies jedoch nicht mehr der Fall. Verwenden Sie stattdessen die erweiterte Option Security.PasswordQualityControl.

Ändern der standardmäßigen Kennwortbeschränkungen

Die standardmäßige Beschränkung für Kennwörter oder Kennwortsätze können Sie mithilfe der erweiterten Option Security.PasswordQualityControl für Ihren ESXi-Host ändern. In der Dokumentation vCenter Server und Hostverwaltung finden Sie weitere Informationen zum Festlegen der erweiterten ESXi-Optionen.

Sie können den Standardwert wie folgt ändern, damit beispielsweise mindestens 15 Zeichen und mindestens vier Wörter ( passphrase=4) erforderlich sind:
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Ausführliche Informationen finden Sie auf der Manpage zu pam_passwdqc.
Hinweis: Nicht alle möglichen Kombinationen von Kennwortoptionen wurden getestet. Führen Sie Tests durch, nachdem Sie Änderungen an den Einstellungen für das Standardkennwort vorgenommen haben.

In diesem Beispiel wird die Kennwortkomplexität auf acht Zeichen aus vier Zeichenklassen festgelegt, wobei ein erheblicher Unterschied zwischen den Kennwörtern, eine gespeicherter Verlauf von fünf Kennwörtern und eine 90-tägige Rotationsrichtlinie erzwungen wird:

min=disabled,disabled,disabled,disabled,8 similar=deny

Legen Sie die Option Security.PasswordHistory auf 5 und die Option Security.PasswordMaxDays auf 90 fest.

ESXi-Kontosperrverhalten

Das Sperren von Konten für den Zugriff über SSH und das vSphere Web Services SDK wird unterstützt. Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht. Standardmäßig wird das Konto nach maximal fünf fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach 15 Minuten entsperrt.

Konfigurieren des Anmeldeverhaltens

Das Anmeldeverhalten für Ihren ESXi-Host können Sie mit den folgenden erweiterten Optionen konfigurieren:
  • Security.AccountLockFailures. Maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche, bevor das Konto eines Benutzers gesperrt wird. Mit dem Wert „0“ wird das Sperren von Konten deaktiviert.
  • Security.AccountUnlockTime. Die Anzahl der Sekunden, die ein Benutzer gesperrt wird.
  • Security.PasswordHistory. Anzahl der für jeden Benutzer zu speichernden Kennwörter. Mit dem Wert „0“ wird der Kennwortverlauf deaktiviert.

Weitere Informationen zum Festlegen der erweiterten ESXi-Optionen finden Sie in der Dokumentation vCenter Server und Hostverwaltung.