Puede ver o personalizar su configuración de la directiva de autenticación utilizando la API y la CLI.

Es importante comprender algunos detalles sobre cómo ver o cambiar la configuración de las directivas.
  • Esta función solo permite una directiva de contraseña.
  • Los cambios en la configuración de la contraseña afectan a los nuevos usuarios inmediatamente. Desde que los administradores actualicen las configuraciones de contraseña de usuario existentes, los usuarios actuales deben seguir los cambios de configuración de contraseña actualizados.
  • Los cambios de configuración de la API tardan unos 20 segundos en surtir efecto.
  • Para NSX Edge, las contraseñas cambiadas no se sincronizan en todo el clúster. Los cambios de la CLI y la API aparecen en un nodo.
  • El nodo de transporte del dispositivo es compatible con BCG, Edge autónomo o dispositivos unificados (UA). No hay soporte para los cambios de configuración de la contraseña del nodo de transporte para el Local Manager o el usuario audit en ESX.
  • La administración de acceso con privilegios (PAM) admite la configuración de la longitud mínima o máxima de la contraseña, pero no ambas configuraciones.
  • El uso de números negativos para las entradas de contraseña establece el rango mínimo, mientras que los números positivos establecen el rango máximo. Para mantener el valor predeterminado existente, deje la respuesta vacía.
  • Si se modifica antes de la actualización, la configuración de la directiva de contraseñas seguirá siendo la misma después de la actualización para los usuarios existentes. NSX Manager no aplica la directiva de contraseñas predeterminada en este caso.
  • Directivas de autenticación
    [API] /api/v1/node/aaa/auth-policy
    [API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
    [API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager incluye la siguiente complejidad de las contraseñas de la CLI y la API y la compatibilidad con los comandos de autenticación. Estas opciones de directiva de contraseñas ahora se sincronizan en los nodos del clúster de administración. La visualización de los detalles de la contraseña no requiere ningún permiso. La modificación de los valores predeterminados de contraseña existentes requiere permisos de administrador.

Para obtener más información sobre los rangos predeterminados y otros detalles, consulte Referencia de interfaz de línea de comandos de NSX y Guía de NSX API.

Tabla 1. Opciones personalizables de la directiva de contraseñas de la CLI
Opción de contraseña Comando de la CLI
Ver o configurar la configuración de complejidad de la contraseña
get password-complexity
Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module
set password-complexity

Puede cambiar parámetros específicos mediante estos argumentos:

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):        
Ver directiva de autenticación
get auth-policy cli 
lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
Configurar la directiva de autenticación
set auth-policy cli
 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
Tabla 2. Opciones personalizables de la directiva de contraseñas de la API
Opción de contraseña Comandos de la API
Ver la directiva de autorización y complejidad de las contraseñas
get /api/v1/node/aaa/auth-policy 
{
 "_retry_prompt": 3,
 "_schema": "AuthenticationPolicyProperties",
 "_self": {
     "href": "/node/aaa/auth-policy",
     "rel": "self"
  },
 "api_failed_auth_lockout_period": 5,
 "api_failed_auth_reset_period": 900,
 "api_max_auth_failures": 900,
 "cli_failed_auth_lockout_period": 900,
 "cli_max_auth_failures": 5,
 "digits": -1,
 "hash_algorithm": "sha512",
 "lower_chars": -1,
 "max_repeats": 0,
 "max_sequence": 0,
 "maximum_password_length": 128,
 "minimum_password_length": 12,
 "minimum_unique_chars": 0,
 "password_remembrance": 0,
 "special_chars": -1,
 "upper_chars": -1
}
Ver directiva de autorización de VMware Identity Manager (vIDM)
get auth-policy vidm
Wed Jun 08 2022 UTC 12:58:28.357
LB Enabled: False
Enabled: False
Hostname:
Thumbprint:
Client Id:
Node Hostname:
Configurar la directiva de autorización de vIDM
set auth-policy vidm
enabled  Enabled property
 hostname  System’s network name
 lb-extern External Load Balancer Flag For vIDM Wiring
Configurar la complejidad de las contraseñas y la directiva de autorización
  • Período de bloqueo de intentos de autorización con errores de API (en segundos)
put /api/v1/node/aaa/auth-policy
lockout_period <lockout-period-arg>
  • Período de restablecimiento de bloqueo de error de autenticación
lockout_reset_period
  • Número de errores permitidos antes del bloqueo de la API
max_auth_failures
  • Número de caracteres numéricos
digits
  • Algoritmo hash
hash_algorithm
  • Número de caracteres en minúscula
lower_chars
  • Secuencia de los mismos caracteres
max_repeats
  • Secuencia máxima de caracteres monótonos (1234 o DCBA)
max_sequence
  • Longitud máxima de contraseña
maximum_password_length
  • Longitud mínima de contraseña
minimum_password_length
  • Mínimo de caracteres únicos
minimum_unique_chars
  • Número mínimo de reutilización de contraseñas
password_remembrance
  • Si es 0, la comprobación de contraseñas anteriores estará deshabilitada y los usuarios podrán reutilizar cualquier contraseña anterior. Predeterminado.
  • Si introduce un número, el usuario no podrá reutilizar ese número de contraseñas anteriores. Por ejemplo, si establece el valor 2, el usuario no podrá volver a usar las últimas dos contraseñas.
  • Número de caracteres especiales
special_chars
  • Número de caracteres en mayúscula
upper_chars
Restablecer la complejidad de la contraseña, la directiva de autenticación o ambas Para el nodo: los nodos de transporte y los clústeres:
reset-password-complexity 
reset-auth-policies
reset-all