Configuración de la directiva de autenticación

Puede ver o personalizar su configuración de la directiva de autenticación utilizando la API y la CLI.

Es importante comprender algunos detalles sobre cómo ver o cambiar la configuración de las directivas.

Esta función solo permite una directiva de contraseña.
Los cambios en la configuración de la contraseña afectan a los nuevos usuarios inmediatamente. Desde que los administradores actualicen las configuraciones de contraseña de usuario existentes, los usuarios actuales deben seguir los cambios de configuración de contraseña actualizados.
Los cambios de configuración de la API tardan unos 20 segundos en surtir efecto.
Para NSX Edge, las contraseñas cambiadas no se sincronizan en todo el clúster. Los cambios de la CLI y la API aparecen en un nodo.
El nodo de transporte del dispositivo es compatible con BCG, Edge autónomo o dispositivos unificados (UA). No hay soporte para los cambios de configuración de la contraseña del nodo de transporte para el Local Manager o el usuario audit en ESX.
La administración de acceso con privilegios (PAM) admite la configuración de la longitud mínima o máxima de la contraseña, pero no ambas configuraciones.
El uso de números negativos para las entradas de contraseña establece el rango mínimo, mientras que los números positivos establecen el rango máximo. Para mantener el valor predeterminado existente, deje la respuesta vacía.
Si se modifica antes de la actualización, la configuración de la directiva de contraseñas seguirá siendo la misma después de la actualización para los usuarios existentes. NSX Manager no aplica la directiva de contraseñas predeterminada en este caso.

Directivas de autenticación

[API] /api/v1/node/aaa/auth-policy

[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy

[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager incluye la siguiente complejidad de las contraseñas de la CLI y la API y la compatibilidad con los comandos de autenticación. Estas opciones de directiva de contraseñas ahora se sincronizan en los nodos del clúster de administración. La visualización de los detalles de la contraseña no requiere ningún permiso. La modificación de los valores predeterminados de contraseña existentes requiere permisos de administrador.

Para obtener más información sobre los rangos predeterminados y otros detalles, consulte Referencia de interfaz de línea de comandos de NSX y Guía de NSX API.

Tabla 1. Opciones personalizables de la directiva de contraseñas de la CLI
Opción de contraseña	Comando de la CLI
Ver o configurar la configuración de complejidad de la contraseña	get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity Puede cambiar parámetros específicos mediante estos argumentos: Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change):
Ver directiva de autenticación	get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout
Configurar la directiva de autenticación	set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout

Tabla 1. Opciones personalizables de la directiva de contraseñas de la CLI

Opción de contraseña

Comando de la CLI

Ver o configurar la configuración de complejidad de la contraseña

get password-complexity

Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module

set password-complexity

Puede cambiar parámetros específicos mediante estos argumentos:

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):

Ver directiva de autenticación

get auth-policy cli

lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

Configurar la directiva de autenticación

set auth-policy cli

 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

Tabla 2. Opciones personalizables de la directiva de contraseñas de la API
Opción de contraseña	Comandos de la API
Ver la directiva de autorización y complejidad de las contraseñas	get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 }
Ver directiva de autorización de VMware Identity Manager (vIDM)	get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname:
Configurar la directiva de autorización de vIDM	set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring
Configurar la complejidad de las contraseñas y la directiva de autorización Período de bloqueo de intentos de autorización con errores de API (en segundos)	put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg>
Período de restablecimiento de bloqueo de error de autenticación	lockout_reset_period
Número de errores permitidos antes del bloqueo de la API	max_auth_failures
Número de caracteres numéricos	digits
Algoritmo hash	hash_algorithm
Número de caracteres en minúscula	lower_chars
Secuencia de los mismos caracteres	max_repeats
Secuencia máxima de caracteres monótonos (1234 o DCBA)	max_sequence
Longitud máxima de contraseña	maximum_password_length
Longitud mínima de contraseña	minimum_password_length
Mínimo de caracteres únicos	minimum_unique_chars
Número mínimo de reutilización de contraseñas	password_remembrance Si es 0, la comprobación de contraseñas anteriores estará deshabilitada y los usuarios podrán reutilizar cualquier contraseña anterior. Predeterminado. Si introduce un número, el usuario no podrá reutilizar ese número de contraseñas anteriores. Por ejemplo, si establece el valor 2, el usuario no podrá volver a usar las últimas dos contraseñas.
Número de caracteres especiales	special_chars
Número de caracteres en mayúscula	upper_chars
Restablecer la complejidad de la contraseña, la directiva de autenticación o ambas	Para el nodo: los nodos de transporte y los clústeres: reset-password-complexity reset-auth-policies reset-all