Para los hosts ESXi, debe utilizar una contraseña con requisitos predefinidos. Puede cambiar el requisito de longitud requerida y clases de caracteres o permitir frases de contraseña si utiliza la opción avanzada Security.PasswordQualityControl.
Contraseñas de ESXi
ESXi aplica requisitos de contraseña para el acceso desde la interfaz de usuario de la consola directa, ESXi Shell, SSH o VMware Host Client.
- De manera predeterminada, cuando cree la contraseña deberá incluir una combinación de cuatro clases de caracteres: letras en minúscula, letras en mayúscula, números y caracteres especiales, como el guion bajo o el guion.
- De forma predeterminada, la longitud de la contraseña debe tener más de 7 caracteres y menos de 40.
- Las contraseñas no pueden contener una palabra de diccionario o parte de una palabra de diccionario.
Ejemplos de contraseñas de ESXi
retry=3 min=disabled,disabled,disabled,7,7Con esta configuración, no se permiten las contraseñas que tienen una o dos clases de caracteres ni las frases de contraseña, ya que los primeros tres elementos están deshabilitados. Las contraseñas de tres y cuatro clases de caracteres requieren siete caracteres. Consulte la página del manual de pam_passwdqc para obtener más información.
- xQaTEhb!: contiene ocho caracteres de tres clases.
- xQaT3#A: contiene siete caracteres de cuatro clases.
- Xqat3hi: comienza con un carácter en mayúscula, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.
- xQaTEh2: termina con un número, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.
Frase de contraseña de ESXi
En lugar de una contraseña, también puede utilizar una frase de contraseña. Sin embargo, las frases de contraseña están deshabilitadas de forma predeterminada. Puede cambiar este valor predeterminado u otros valores de configuración mediante la opción avanzada Security.PasswordQualityControl de vSphere Client.
Por ejemplo, puede cambiar la opción por la siguiente.
retry=3 min=disabled,disabled,16,7,7
Este ejemplo permite frases de contraseña de al menos 16 caracteres y un mínimo de 3 palabras separadas por espacios.
En el caso de los hosts heredados, todavía se puede cambiar el archivo /etc/pamd/passwd, pero no se podrá hacer en las próximas versiones. En su lugar, utilice la opción avanzada Security.PasswordQualityControl.
Modificar las restricciones predeterminadas de contraseña
Puede cambiar la restricción predeterminada de contraseñas y frases de contraseña con la opción avanzada Security.PasswordQualityControl (Control de calidad de contraseña de seguridad) del host ESXi. Consulte la documentación Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Para obtener más información, consulte la página del manual de pam_passwdqc.
Comportamiento del bloqueo de cuentas de ESXi
A partir de vSphere 6.0, se admite el bloqueo de cuentas para el acceso a través de SSH y vSphere Web Services SDK. La interfaz de la consola directa (DCUI) y ESXi Shell no admiten el bloqueo de cuentas. De forma predeterminada, se permite un máximo de cinco intentos con errores antes de que la cuenta se bloquee. De forma predeterminada, la cuenta se desbloquea después de 15 minutos.
Configurar el comportamiento de inicio de sesión
- Security.AccountLockFailures. Cantidad máxima de intentos de inicio de sesión con errores antes de que la cuenta de un usuario se bloquee. Cero deshabilita el bloqueo de cuentas.
- Security.AccountUnlockTime. Cantidad de segundos en los que el usuario queda bloqueado.
Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.