Für ESXi-Hosts müssen Sie ein Kennwort mit vordefinierten Anforderungen verwenden. Mithilfe der erweiterten Option Security.PasswordQualityControl können Sie die erforderliche Länge und die erforderliche Zeichenklasse ändern sowie Kennwortsätze erlauben. Sie können auch die Anzahl der Kennwörter festlegen, die für jeden Benutzer gespeichert werden soll. Verwenden Sie dazu die erweiterte Option Security.PasswordHistory.
ESXi-Kennwörter
ESXi erzwingt Kennwortanforderungen für den Zugriff über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell, SSH oder den VMware Host Client.
- Beim Erstellen eines Kennworts müssen darin standardmäßig Zeichen aus drei der vier folgenden Zeichenklassen enthalten sein: Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen (z. B. Unter- oder Schrägstriche).
- Standardmäßig besteht ein Kennwort aus mindestens 7 und weniger als 40 Zeichen.
- Kennwörter dürfen kein Wort aus einem Wörterbuch und keinen Teil eines Worts aus einem Wörterbuch enthalten.
Beispiele für ESXi-Kennwörter
retry=3 min=disabled,disabled,disabled,7,7Mit dieser Einstellung wird ein Benutzer bis zu drei Mal (retry=3) zur Eingabe eines neuen Kennworts aufgefordert, wenn ein Kennwort nicht ausreichend stark ist oder das Kennwort zweimal nicht korrekt eingegeben wurde. Kennwörter mit einer oder zwei Zeichenklassen und Kennwortsätzen sind nicht zulässig, da die ersten drei Elemente deaktiviert sind. Kennwörter mit drei oder vier Zeichenklassen erfordern sieben Zeichen. Weitere Informationen zu weiteren Optionen, wie z. B. max, passphrase und so weiter, finden Sie auf der pam_passwdqc-Manpage.
- xQaTEhb!: Enthält acht Zeichen aus drei Zeichenklassen.
- xQaT3#A: Enthält sieben Zeichen aus vier Zeichenklassen.
- Xqat3hi: Beginnt mit einem Großbuchstaben, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
- xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
ESXi-Kennwortsatz
Anstelle eines Kennworts können Sie auch einen Kennwortsatz verwenden. Kennwortsätze sind jedoch standardmäßig deaktiviert. Die Standardeinstellung oder sonstige Einstellungen können Sie mithilfe der erweiterten Option Security.PasswordQualityControl über den vSphere Client ändern.
Beispielsweise können Sie diese Option wie folgt ändern.
retry=3 min=disabled,disabled,16,7,7
In diesem Beispiel sind Passphrasen mit mindestens 16 Zeichen und mindestens drei Wörtern zulässig.
Änderungen an der Datei /etc/pam.d/passwd werden für Legacy-Hosts weiterhin unterstützt, in zukünftigen Versionen ist dies jedoch nicht mehr der Fall. Verwenden Sie stattdessen die erweiterte Option Security.PasswordQualityControl.
Ändern der standardmäßigen Kennwortbeschränkungen
Die standardmäßige Beschränkung für Kennwörter oder Kennwortsätze können Sie mithilfe der erweiterten Option Security.PasswordQualityControl für Ihren ESXi-Host ändern. In der Dokumentation vCenter Server und Hostverwaltung finden Sie weitere Informationen zum Festlegen der erweiterten ESXi-Optionen.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Ausführliche Informationen finden Sie auf der Manpage zu pam_passwdqc.
In diesem Beispiel wird die Kennwortkomplexität auf acht Zeichen aus vier Zeichenklassen festgelegt, wobei ein erheblicher Unterschied zwischen den Kennwörtern, eine gespeicherter Verlauf von fünf Kennwörtern und eine 90-tägige Rotationsrichtlinie erzwungen wird:
min=disabled,disabled,disabled,disabled,8 similar=deny
Legen Sie die Option Security.PasswordHistory auf 5 und die Option Security.PasswordMaxDays auf 90 fest.
ESXi-Kontosperrverhalten
Das Sperren von Konten für den Zugriff über SSH und das vSphere Web Services SDK wird unterstützt. Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht. Standardmäßig wird das Konto nach maximal fünf fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach 15 Minuten entsperrt.
Konfigurieren des Anmeldeverhaltens
- Security.AccountLockFailures. Maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche, bevor das Konto eines Benutzers gesperrt wird. Mit dem Wert „0“ wird das Sperren von Konten deaktiviert.
- Security.AccountUnlockTime. Die Anzahl der Sekunden, die ein Benutzer gesperrt wird.
- Security.PasswordHistory. Anzahl der für jeden Benutzer zu speichernden Kennwörter. Mit dem Wert „0“ wird der Kennwortverlauf deaktiviert.
Weitere Informationen zum Festlegen der erweiterten ESXi-Optionen finden Sie in der Dokumentation vCenter Server und Hostverwaltung.