Las directivas de vCenter Single Sign-On aplican las reglas de seguridad para las cuentas y los tokens locales en general. Puede ver y editar la directiva de contraseñas, la directiva de bloqueo y la directiva de tokens de vCenter Single Sign-On predeterminadas.

Editar la directiva de contraseñas de vCenter Single Sign-On

La directiva de contraseñas de vCenter Single Sign-On determina el formato y la caducidad de la contraseña. La directiva de contraseñas se aplica solo a los usuarios del dominio de vCenter Single Sign-On (vsphere.local).

De forma predeterminada, las contraseñas de cuenta de usuario integradas de vCenter Single Sign-On caducan a los 90 días. vSphere Client recuerda al usuario cuando la contraseña está a punto de caducar.

Consulte Cambiar la contraseña de vCenter Single Sign-On.
Nota: La cuenta de administrador (administrator@vsphere.local) no se bloquea y la contraseña no caduca. Una práctica de seguridad adecuada es auditar los inicios de sesión desde esta cuenta y rotar la contraseña con regularidad.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  4. Haga clic en la pestaña Cuentas locales.
  5. Haga clic en Editar en la fila Directiva de contraseña.
  6. Edite la directiva de contraseñas.
    Opción Descripción
    Descripción Descripción de directivas de contraseñas.
    Duración máxima Cantidad máxima de días de validez de la contraseña antes de que el usuario deba cambiarla. El número máximo de días que puede introducir es 999999999. Un valor de cero (0) significa que la contraseña nunca caduca.
    Reutilización restringida Cantidad de contraseñas anteriores que no pueden volver a utilizarse. Por ejemplo, si introduce 6, el usuario no puede volver a usar ninguna de las últimas seis contraseñas.
    Longitud máxima Cantidad máxima de caracteres que se permiten en la contraseña.
    Longitud mínima Cantidad mínima de caracteres que se requiere en la contraseña. La longitud mínima no debe ser inferior a la cantidad mínima requerida de caracteres alfabéticos, numéricos y especiales combinados.
    Requisitos de caracteres
    Cantidad mínima de tipos de caracteres diferentes que se requieren en la contraseña. Puede especificar la cantidad de caracteres de cada tipo de la siguiente manera:
    • Especiales: & # %
    • Alfabéticos: A b c D
    • Mayúsculas: A B C
    • Minúsculas: a b c
    • Numéricos: 1 2 3
    • Adyacente idéntico: el número debe ser superior a 0. Por ejemplo, si escribe 1, la siguiente contraseña no se permite: p@$$word.

    La cantidad mínima de caracteres alfabéticos no debe ser inferior a la cantidad de caracteres en mayúscula y minúscula combinados.

    Se admiten caracteres no ASCII en las contraseñas. En versiones anteriores de vCenter Single Sign-On, hay limitaciones en los caracteres admitidos.

    Nota: La directiva de contraseñas selecciona el valor de longitud máxima solo si la longitud mínima es superior a 20 caracteres. El comportamiento de la directiva de contraseñas no está definido o podría provocar errores en los servicios cuando el valor de longitud mínima es superior a 20 caracteres y la longitud máxima está establecida en cualquier valor. Para evitar un posible problema, establezca la longitud mínima en el valor predeterminado de 8 caracteres, o no más de 20 caracteres.
  7. Haga clic en Guardar.

Editar la directiva de bloqueo de vCenter Single Sign-On

Si un usuario intenta iniciar sesión con las credenciales equivocadas, una directiva de bloqueo de vCenter Single Sign-On especifica cuándo queda bloqueada la cuenta del usuario de vCenter Single Sign-On. Los administradores pueden editar la directiva de bloqueo.

Si un usuario inicia sesión varias veces en vsphere.local con la contraseña incorrecta, su cuenta se bloqueará. La directiva de bloqueo permite que los administradores especifiquen la cantidad máxima de intentos fallidos de inicio de sesión, y establezcan el intervalo entre un intento fallido y otro. En la directiva también se especifica cuánto tiempo debe transcurrir antes de que la cuenta se desbloquee automáticamente.
Nota: La directiva de bloqueo se aplica únicamente a las cuentas de usuario, no a las cuentas de sistema, como administrator@vsphere.local.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  4. Haga clic en la pestaña Cuentas locales.
  5. Haga clic en Editar en la fila Directiva de bloqueo.
    Es posible que deba desplazarse hacia abajo para ver la fila Directiva de bloqueo.
  6. Edite los parámetros.
    Opción Descripción
    Descripción Descripción opcional de la directiva de bloqueo.
    Cantidad máxima de intentos fallidos de inicio de sesión Cantidad máxima de intentos fallidos de inicio de sesión permitidos antes de que la cuenta se bloquee.
    Intervalo entre intentos fallidos Período en el cual deben ocurrir los intentos fallidos de inicio de sesión para activar un bloqueo.
    Tiempo de desbloqueo Cantidad de tiempo durante la cual permanece bloqueada la cuenta. Si introduce 0, el administrador debe desbloquear la cuenta explícitamente.
  7. Haga clic en Guardar.

Editar la directiva de tokens de vCenter Single Sign-On

La directiva de tokens de vCenter Single Sign-On especifica las propiedades de tokens, como la tolerancia de reloj y el recuento de renovaciones. Puede editar la directiva de tokens para que la especificación de los tokens se adapte a los estándares de seguridad de la empresa.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  4. Haga clic en la pestaña Cuentas locales.
  5. Haga clic en Editar en la fila Confiabilidad de tokens.
    Es posible que deba desplazarse hacia abajo para ver la fila Confiabilidad de tokens.
  6. Edite los parámetros de configuración de la directiva de tokens.
    Opción Descripción
    Tolerancia de reloj Diferencia horaria, en milisegundos, que vCenter Single Sign-On tolera entre un reloj de cliente y el reloj de la controladora de dominio. Si la diferencia horaria es mayor que el valor especificado, vCenter Single Sign-On declara al token como no válido.
    Recuento máximo de renovaciones de token Es la máxima cantidad de veces que puede renovarse un token. Una vez alcanzada la cantidad máxima de intentos de renovación, se requiere un nuevo token de seguridad.
    Recuento máximo de delegaciones de token Los tokens HoK (Holder-of-key) pueden delegarse a servicios del entorno vSphere. Un servicio que emplea un token delegado ejecuta dicho servicio en nombre del servicio principal que proporcionó el token. La solicitud de un token especifica una identidad DelegateTo. El valor de DelegateTo puede ser el token de una solución o una referencia al token de la solución. Este valor especifica cuántas veces puede delegarse un mismo token HoK.
    Duración máxima de token de portador Los tokens de portador proporcionan autenticación basada únicamente en la posesión del token. Los tokens de portador están pensados para el uso a corto plazo y para una única operación. El token de portador no comprueba la identidad del usuario o de la entidad que envía la solicitud. Este valor especifica la duración del token de portador antes de que el token deba emitirse nuevamente.
    Duración máxima de token HoK Los tokens HoK proporcionan autenticación basada en los artefactos de seguridad que están integrados en el token. Los tokens HoK pueden usarse para operaciones de delegación. Un cliente puede obtener un token HoK y delegarlo a otra entidad. El token contiene las notificaciones para identificar al originador y al delegado. En el entorno vSphere, un sistema vCenter Server obtiene tokens delegados en nombre de un usuario y los utiliza para realizar operaciones.

    Este valor determina la duración de un token HoK antes de que el token se marque como no válido.

  7. Haga clic en Guardar.

Editar la notificación de caducidad de contraseña para usuarios de Active Directory (autenticación integrada de Windows)

La notificación de caducidad de la contraseña de Active Directory se realiza de manera independiente de la caducidad de la contraseña de vCenter Server SSO. De forma predeterminada, la notificación de caducidad de la contraseña para un usuario de Active Directory se envía tras 30 días, pero la fecha de caducidad real de la contraseña depende del sistema de Active Directory. vSphere Client controla la notificación de caducidad. Puede cambiar la notificación de caducidad predeterminada para cumplir con los estándares de seguridad de su empresa.

Requisitos previos

Procedimiento

  1. Inicie sesión en el shell de vCenter Server como usuario con privilegios de administrador.
    El usuario predeterminado con la función de superadministrador es root.
  2. Cambie el directorio a la ubicación del archivo vSphere Client webclient.properties.
    cd /etc/vmware/vsphere-ui
  3. Abra el archivo webclient.properties con un editor de texto.
  4. Edite la siguiente variable.
    sso.pending.password.expiration.notification.days = 30
  5. Reinicie el vSphere Client.
    service-control --stop vsphere-ui
    service-control --start vsphere-ui