vCenter Single Sign On-Richtlinien erzwingen die Sicherheitsregeln für lokale Konten und Token im Allgemeinen. Sie können die standardmäßige Kennwortrichtlinie, Sperrrichtlinie und Token-Richtlinie für vCenter Single Sign On anzeigen und bearbeiten.

Bearbeiten der vCenter Single Sign On-Kennwortrichtlinie

Die vCenter Single Sign On-Kennwortrichtlinie bestimmt das Kennwortformat und den Kennwortablauf. Die Kennwortrichtlinie gilt nur für Benutzer in der vCenter Single Sign On-Domäne (vsphere.local).

Standardmäßig laufen vCenter Single Sign On-Kennwörter für integrierte Benutzerkonten nach 90 Tagen ab. Der vSphere Client erinnert Sie, wenn Ihr Kennwort nur noch wenige Tage gültig ist.

Weitere Informationen hierzu finden Sie unter Ändern des vCenter Single Sign On-Kennworts.
Hinweis: Das Administratorkonto ([email protected]) wird nicht gesperrt und sein Kennwort läuft nicht ab. Eine gute Sicherheitspraxis besteht darin, Anmeldungen über dieses Konto zu überwachen und das Kennwort regelmäßig zu wechseln.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  4. Klicken Sie auf die Registerkarte Lokale Konten.
  5. Klicken Sie auf Bearbeiten für die Zeile Kennwortrichtlinie.
  6. Bearbeiten Sie die Kennwortrichtlinie.
    Option Beschreibung
    Beschreibung Beschreibung der Kennwortrichtlinie.
    Maximale Lebensdauer Maximale Gültigkeitsdauer in Tagen für ein Kennwort, bevor der Benutzer es ändern muss. Die maximale Anzahl von Tagen, die Sie eingeben können, ist 999999999. Der Wert Null (0) bedeutet, dass das Kennwort nie abläuft.
    Wiederverwendung einschränken Anzahl der vorherigen Kennwörter, die nicht wiederverwendet werden können. Wenn Sie beispielsweise „6“ eingeben, kann der Benutzer die letzten sechs Kennwörter nicht wiederverwenden.
    Maximallänge Maximal zulässige Zeichenanzahl für das Kennwort.
    Mindestlänge Mindestens erforderliche Zeichenanzahl für das Kennwort. Die Mindestlänge darf nicht unter der Summe der erforderlichen Mindestanzahl von alphabetischen und numerischen Zeichen sowie Sonderzeichen liegen.
    Zeichenanforderungen
    Mindestens erforderliche Anzahl verschiedener Zeichenarten für das Kennwort. Die Anzahl der verschiedenen Zeichenarten können Sie wie folgt angeben:
    • Sonderzeichen: & # %
    • Buchstaben: A b c D
    • Großbuchstaben: A B C
    • Kleinbuchstaben: a b c
    • Zahlen: 1 2 3
    • Identisch benachbart: Die Zahl muss größer als 0 sein. Wenn Sie beispielsweise 1 eingeben, ist das folgende Kennwort nicht zulässig: p@$$word.

    Die Mindestanzahl alphabetischer Zeichen muss mindestens der Summe der Groß- und Kleinbuchstaben entsprechen.

    In Kennwörtern werden Nicht-ASCII-Zeichen unterstützt. In älteren Versionen von vCenter Single Sign On existieren Beschränkungen in Bezug auf unterstützte Zeichen.

    Hinweis: Die Kennwortrichtlinie verwendet den Wert für die maximale Länge nur dann, wenn die Mindestlänge größer als 20 Zeichen ist. Das Verhalten der Kennwortrichtlinie ist nicht definiert oder kann zu einem Ausfall von Diensten führen, wenn die Mindestlänge größer als 20 Zeichen ist und die maximale Länge auf einen beliebigen Wert festgelegt ist. Um ein potenzielles Problem zu vermeiden, belassen Sie die Mindestlänge auf dem Standardwert von 8 Zeichen oder nicht mehr als 20 Zeichen.
  7. Klicken Sie auf Speichern.

Bearbeiten der vCenter Single Sign On-Sperrrichtlinie

Wenn ein Benutzer versucht, sich mit falschen Anmeldedaten anzumelden, gibt eine vCenter Single Sign On-Sperrrichtlinie an, wann das vCenter Single Sign On-Konto des Benutzers gesperrt wird. Administratoren können die Sperrrichtlinie bearbeiten.

Wenn sich ein Benutzer bei „vsphere.local“ mehrmals mit dem falschen Kennwort anmeldet, wird er gesperrt. Über die Sperrrichtlinie können Administratoren die maximale Anzahl der fehlgeschlagenen Anmeldeversuche angeben und das Zeitintervall zwischen fehlgeschlagenen Versuchen festlegen. Mit der Richtlinie wird auch festgelegt, wie viel Zeit vergehen muss, bevor das Konto automatisch entsperrt wird.
Hinweis: Die Sperrrichtlinie gilt für Benutzerkonten und nicht für Systemkonten wie „[email protected]“.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  4. Klicken Sie auf die Registerkarte Lokale Konten.
  5. Klicken Sie auf Bearbeiten für die Zeile Sperrrichtlinie.
    Möglicherweise müssen Sie nach unten scrollen, um die Zeile Sperrrichtlinie zu sehen.
  6. Bearbeiten Sie die Parameter.
    Option Beschreibung
    Beschreibung Optionale Beschreibung der Sperrrichtlinie
    Maximale Anzahl der fehlgeschlagenen Anmeldeversuche Maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche, bevor das Konto gesperrt wird.
    Zeitintervall zwischen fehlgeschlagenen Versuchen Zeitraum, in dem fehlgeschlagene Anmeldeversuche vorkommen müssen, damit eine Sperrung ausgelöst wird.
    Entsperrzeit Die Zeitdauer, die das Konto gesperrt bleibt. Wenn Sie 0 eingeben, muss der Administrator das Konto explizit entsperren.
  7. Klicken Sie auf Speichern.

Bearbeiten der vCenter Single Sign On-Token-Richtlinie

Die vCenter Single Sign On-Token-Richtlinie gibt die Token-Eigenschaften wie Zeittoleranz und Anzahl der Verlängerung an. Sie können die Token-Richtlinie bearbeiten, um sicherzustellen, dass die Token-Spezifikation den Sicherheitsstandards Ihres Unternehmens entspricht.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  4. Klicken Sie auf die Registerkarte Lokale Konten.
  5. Klicken Sie auf Bearbeiten für die Zeile Tokenvertrauenswürdigkeit.
    Möglicherweise müssen Sie nach unten scrollen, um die Zeile Token-Vertrauenswürdigkeit zu sehen.
  6. Bearbeiten Sie die Konfigurationsparameter der Token-Richtlinie.
    Option Beschreibung
    Zeittoleranz Der von vCenter Single Sign On tolerierte Zeitunterschied in Millisekunden zwischen einer Client-Uhr und der Uhr des Domänencontrollers. Ist der Zeitunterschied größer als der angegebene Wert, markiert vCenter Single Sign On das Token als ungültig.
    Maximalzahl der Token-Verlängerungen Die maximale Anzahl möglicher Verlängerungen für ein Token. Wenn die maximale Anzahl an Verlängerungsversuchen erreicht wurde, ist ein neues Sicherheitstoken erforderlich.
    Maximalzahl der Token-Delegierungen Token des Typs 'holder-of-key' können an Dienste in der vSphere-Umgebung delegiert werden. Ein Dienst, der ein delegiertes Token verwendet, führt den Dienst im Auftrag des Prinzipals aus, der das Token bereitgestellt hat. Eine Token-Anforderung gibt eine DelegateTo-Identität an. Der Wert für 'DelegateTo' kann entweder ein Lösungstoken oder eine Referenz auf ein Lösungstoken sein. Dieser Wert gibt an, wie oft ein einzelnes Token des Typs 'holder-of-key' delegiert werden kann.
    Maximale Lebensdauer für Bearer-Token Ein Bearer-Token bietet eine Authentifizierung, die nur auf dem Besitz des Tokens basiert. Bearer-Token sind für eine kurzzeitige Verwendung in einem einmaligen Vorgang ausgelegt. Ein Bearer-Token überprüft nicht die Identität des Benutzers oder Elements, von dem die Anforderung gesendet wird. Dieser Wert gibt den Wert für die Lebensdauer eines Bearer-Tokens an, bevor dieses neu ausgestellt werden muss.
    Maximale Lebensdauer für Token des Typs 'holder-of-key' Token des Typs 'holder-of-key' bieten eine Authentifizierung, die auf in das Token eingebetteten Sicherheitsartefakten basiert. Token des Typs 'holder-of-key' können delegiert werden. Ein Client kann ein Token des Typs 'holder-of-key' erhalten und dieses Token an ein anderes Element delegieren. Das Token enthält die Beanspruchungen zur Identifizierung des Urhebers und des Delegaten. In der vSphere-Umgebung ruft ein vCenter Server-System im Auftrag eines Benutzers delegierte Token ab und verwendet diese Token zum Ausführen von Vorgängen.

    Dieser Wert gibt die Lebensdauer eines Tokens des Typs 'holder-of-key' an, bevor das Token als ungültig markiert wird.

  7. Klicken Sie auf Speichern.

Bearbeiten der Benachrichtigungsfrist zum Kennwortablauf für Active Directory-Benutzer (Integrierte Windows-Authentifizierung)

Die Active Directory-Benachrichtigungsfrist zum Kennwortablauf wird getrennt vom vCenter Server SSO-Kennwortablauf gehandhabt. Die standardmäßige Benachrichtigungsfrist zum Kennwortablauf für einen Active Directory-Benutzer beträgt 30 Tage, die tatsächliche Kennwortablauffrist hängt jedoch von Ihrem Active Directory-System ab. vSphere Client steuert die Benachrichtigungsfrist zum Kennwortablauf. Sie können die standardmäßige Benachrichtigungsfrist zum Kennwortablauf so ändern, dass sie die Sicherheitsstandards in Ihrem Unternehmen erfüllt.

Voraussetzungen

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell als Benutzer mit Administratorrechten an.
    Der Standardbenutzer mit der Superadministratorrolle ist „root“.
  2. Wechseln Sie zu dem Verzeichnis, in dem die vSphere Client-Datei webclient.properties abgelegt ist. 
    cd /etc/vmware/vsphere-ui
  3. Öffnen Sie die webclient.properties-Datei mit einem Texteditor.
  4. Bearbeiten Sie die folgende Variable: 
    sso.pending.password.expiration.notification.days = 30
  5. Starten Sie den vSphere Client neu. 
    service-control --stop vsphere-ui
service-control --start vsphere-ui