Para los hosts ESXi, debe utilizar una contraseña con requisitos predefinidos. Puede cambiar el requisito de longitud requerida y clases de caracteres o permitir frases de contraseña si utiliza la opción avanzada Security.PasswordQualityControl. También puede establecer el número de contraseñas para recordar para cada usuario mediante la opción avanzada Security.PasswordHistory.

ESXi utiliza el módulo Linux PAM pam_passwdqc para la administración y el control de contraseñas. Consulte la página del manual de pam_passwdqc para obtener información detallada.
Nota: Los requisitos predeterminados para las contraseñas de ESXi pueden cambiar de una versión a otra. Puede comprobar las restricciones predeterminadas para la contraseña y modificarlas con la opción avanzada Security.PasswordQualityControl.

Contraseñas de ESXi

ESXi aplica requisitos de contraseña para el acceso desde la interfaz de usuario de la consola directa, ESXi Shell, SSH o VMware Host Client.

  • De manera predeterminada, cuando cree la contraseña deberá incluir una combinación de cuatro clases de caracteres: letras en minúscula, letras en mayúscula, números y caracteres especiales, como el guion bajo o el guion.
  • De forma predeterminada, la longitud de la contraseña debe tener más de 7 caracteres y menos de 40.
  • Las contraseñas no pueden contener una palabra de diccionario o parte de una palabra de diccionario.
Nota: Un carácter en mayúscula al inicio de una contraseña no se tiene en cuenta en la cantidad de clases de caracteres que se utilizan. Un número al final de una contraseña no se tiene en cuenta en la cantidad de clases de caracteres que se utilizan.

Ejemplos de contraseñas de ESXi

A continuación se indican posibles contraseñas en caso de configurar la opción de la siguiente manera.
retry=3 min=disabled,disabled,disabled,7,7
Con esta configuración, no se permiten las contraseñas que tienen una o dos clases de caracteres ni las frases de contraseña, ya que los primeros tres elementos están deshabilitados. Las contraseñas de tres y cuatro clases de caracteres requieren siete caracteres. Consulte la página del manual de pam_passwdqc para obtener más información.
Con esta configuración, se permiten las siguientes contraseñas.
  • xQaTEhb!: contiene ocho caracteres de tres clases.
  • xQaT3#A: contiene siete caracteres de cuatro clases.
Las siguientes contraseñas posibles no cumplen con los requisitos.
  • Xqat3hi: comienza con un carácter en mayúscula, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.
  • xQaTEh2: termina con un número, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.

Frase de contraseña de ESXi

En lugar de una contraseña, también puede utilizar una frase de contraseña. Sin embargo, las frases de contraseña están deshabilitadas de forma predeterminada. Puede cambiar este valor predeterminado u otros valores de configuración mediante la opción avanzada Security.PasswordQualityControl de vSphere Client.

Por ejemplo, puede cambiar la opción por la siguiente.

retry=3 min=disabled,disabled,16,7,7

Este ejemplo permite frases de contraseña de al menos 16 caracteres y un mínimo de 3 palabras separadas por espacios.

En el caso de los hosts heredados, aún es posible cambiar el archivo /etc/pam.d/passwd, pero no se podrá hacer en las próximas versiones. En su lugar, utilice la opción avanzada Security.PasswordQualityControl.

Modificar las restricciones predeterminadas de contraseña

Puede cambiar la restricción predeterminada de contraseñas y frases de contraseña con la opción avanzada Security.PasswordQualityControl (Control de calidad de contraseña de seguridad) del host ESXi. Consulte la documentación Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.

Puede cambiar el valor predeterminado, por ejemplo, a fin que de que se requiera un mínimo de 15 caracteres y una cantidad mínima de cuatro palabras, de la siguiente manera:
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Para obtener más información, consulte la página del manual de pam_passwdqc.
Nota: Aún no se probaron todas las combinaciones posibles de las opciones de pam_passwdqc. Después de cambiar la configuración de contraseña predeterminada, realice una prueba adicional.

Comportamiento del bloqueo de cuentas de ESXi

A partir de vSphere 6.0, se admite el bloqueo de cuentas para el acceso a través de SSH y vSphere Web Services SDK. La interfaz de la consola directa (DCUI) y ESXi Shell no admiten el bloqueo de cuentas. De forma predeterminada, se permite un máximo de cinco intentos con errores antes de que la cuenta se bloquee. De forma predeterminada, la cuenta se desbloquea después de 15 minutos.

Configurar el comportamiento de inicio de sesión

Puede configurar el comportamiento de inicio de sesión del host ESXi con las siguientes opciones avanzadas:
  • Security.AccountLockFailures. Cantidad máxima de intentos de inicio de sesión con errores antes de que la cuenta de un usuario se bloquee. Cero deshabilita el bloqueo de cuentas.
  • Security.AccountUnlockTime. Cantidad de segundos en los que el usuario queda bloqueado.
  • Security.PasswordHistory. Cantidad de contraseñas que se deben recordar para cada usuario. Si se especifica cero, se deshabilita el historial de contraseñas.

Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.