Para los hosts ESXi, debe utilizar una contraseña con requisitos predefinidos. Puede cambiar el requisito de longitud requerida y clases de caracteres o permitir frases de contraseña si utiliza la opción avanzada Security.PasswordQualityControl. También puede establecer el número de contraseñas para recordar para cada usuario mediante la opción avanzada Security.PasswordHistory.
Contraseñas de ESXi
ESXi aplica requisitos de contraseña para el acceso desde la interfaz de usuario de la consola directa, ESXi Shell, SSH o VMware Host Client.
- De manera predeterminada, debe incluir una combinación de al menos tres de las cuatro clases de caracteres siguientes: letras en minúscula, letras en mayúscula, números y caracteres especiales, como el guion bajo o el guion, al crear una contraseña.
- De forma predeterminada, la longitud de la contraseña debe tener como mínimo 7 caracteres y menos de 40.
- Las contraseñas no deben contener una palabra de diccionario ni parte de una palabra de diccionario.
- Las contraseñas no deben contener el nombre de usuario ni partes del mismo.
Ejemplos de contraseñas de ESXi
retry=3 min=disabled,disabled,disabled,7,7Con esta opción, se solicita al usuario hasta tres veces (retry=3) una contraseña nueva si no es lo suficientemente segura o si la contraseña no se introdujo correctamente dos veces. No se permiten las contraseñas que tienen una o dos clases de caracteres ni las frases de contraseña, ya que los primeros tres elementos están deshabilitados. Las contraseñas de tres y cuatro clases de caracteres requieren siete caracteres. Consulte la página del manual de pam_passwdqc para obtener más información sobre otras opciones, como max y passphrase, entre otras.
- xQaTEhb!: contiene ocho caracteres de tres clases.
- xQaT3#A: contiene siete caracteres de cuatro clases.
- Xqat3hi: comienza con un carácter en mayúscula, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.
- xQaTEh2: termina con un número, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.
Frase de contraseña de ESXi
En lugar de una contraseña, también puede utilizar una frase de contraseña. Sin embargo, las frases de contraseña están deshabilitadas de forma predeterminada. Puede cambiar este valor predeterminado u otros valores de configuración mediante la opción avanzada Security.PasswordQualityControl de vSphere Client.
Por ejemplo, puede cambiar la opción por la siguiente.
retry=3 min=disabled,disabled,16,7,7
Este ejemplo permite frases de contraseña de al menos 16 caracteres y al menos tres palabras.
En el caso de los hosts heredados, aún es posible cambiar el archivo /etc/pam.d/passwd, pero no se podrá hacer en las próximas versiones. En su lugar, utilice la opción avanzada Security.PasswordQualityControl.
Modificar las restricciones predeterminadas de contraseña
Puede cambiar la restricción predeterminada de contraseñas y frases de contraseña con la opción avanzada Security.PasswordQualityControl (Control de calidad de contraseña de seguridad) del host ESXi. Consulte la documentación Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Para obtener más información, consulte la página del manual de pam_passwdqc.
En este ejemplo, se establece el requisito de complejidad de contraseña para requerir ocho caracteres de cuatro clases que aplican una diferencia significativa de contraseñas, un historial recordado de cinco contraseñas y una directiva de rotación de 90 días:
min=disabled,disabled,disabled,disabled,8 similar=deny
Establezca la opción Security.PasswordHistory en 5 y la opción Security.PasswordMaxDays en 90.
Comportamiento del bloqueo de cuentas de ESXi
Se admite el bloqueo de cuentas para el acceso a través de SSH y vSphere Web Services SDK. La interfaz de la consola directa (DCUI) y ESXi Shell no admiten el bloqueo de cuentas. De forma predeterminada, se permite un máximo de cinco intentos con errores antes de que la cuenta se bloquee. De forma predeterminada, la cuenta se desbloquea después de 15 minutos.
Configurar el comportamiento de inicio de sesión
- Security.AccountLockFailures. Cantidad máxima de intentos de inicio de sesión con errores antes de que la cuenta de un usuario se bloquee. Cero desactiva el bloqueo de cuentas.
- Security.AccountUnlockTime. Cantidad de segundos en los que el usuario queda bloqueado.
- Security.PasswordHistory. Número de contraseñas que se deben recordar para cada usuario. Cero desactiva el historial de contraseñas.
Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.