Para los hosts ESXi, debe utilizar una contraseña con requisitos predefinidos. Puede cambiar el requisito de longitud requerida y la clase de caracteres o permitir frases de contraseña si utiliza el ajuste del sistema avanzado Security.PasswordQualityControl. También puede establecer el número de contraseñas para recordar para cada usuario mediante el ajuste del sistema avanzado Security.PasswordHistory.

Nota: Los requisitos predeterminados para las contraseñas de ESXi pueden cambiar de una versión a otra. Puede comprobar las restricciones predeterminadas para la contraseña y modificarlas con el ajuste del sistema avanzado Security.PasswordQualityControl.

Contraseñas de ESXi

ESXi aplica requisitos de contraseña para el acceso desde la interfaz de usuario de la consola directa, ESXi Shell, SSH o VMware Host Client.

  • De manera predeterminada, debe incluir una combinación de al menos tres de las cuatro clases de caracteres siguientes: letras en minúscula, letras en mayúscula, números y caracteres especiales, como el guion bajo o el guion, al crear una contraseña.
  • De forma predeterminada, la longitud de la contraseña debe tener como mínimo 7 caracteres y menos de 40.
  • Las contraseñas no deben contener una palabra de diccionario ni parte de una palabra de diccionario.
  • Las contraseñas no deben contener el nombre de usuario ni partes del mismo.
Nota: Un carácter en mayúscula al inicio de una contraseña no se tiene en cuenta en la cantidad de clases de caracteres que se utilizan. Un número al final de una contraseña no se tiene en cuenta en la cantidad de clases de caracteres que se utilizan. Una palabra del diccionario que se utiliza dentro de una contraseña reduce la longitud general de la contraseña.

Ejemplos de contraseñas de ESXi

A continuación se indican posibles contraseñas en caso de configurar la opción de la siguiente manera. 
retry=3 min=disabled,disabled,disabled,7,7
Con esta opción, se solicita al usuario hasta tres veces (retry=3) una contraseña nueva si no es lo suficientemente segura o si la contraseña no se introdujo correctamente dos veces. No se permiten las contraseñas que tienen una o dos clases de caracteres ni las frases de contraseña, ya que los primeros tres elementos están desactivados. Las contraseñas de tres y cuatro clases de caracteres requieren siete caracteres. Consulte la página del manual de pam_passwdqc para obtener más información sobre otras opciones, como max y passphrase, entre otras.
Con esta configuración, se permiten las siguientes contraseñas.
  • xQaTEhb!: contiene ocho caracteres de tres clases.
  • xQaT3#A: contiene siete caracteres de cuatro clases.
Las siguientes contraseñas posibles no cumplen con los requisitos.
  • Xqat3hi: comienza con un carácter en mayúscula, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.
  • xQaTEh2: termina con un número, lo que reduce la cantidad efectiva de clases de caracteres a dos. La cantidad mínima de clases de caracteres requerida es tres.

Frase de contraseña de ESXi

En lugar de una contraseña, también puede utilizar una frase de contraseña. Sin embargo, las frases de contraseña están desactivadas de forma predeterminada. Puede cambiar este valor predeterminado u otros valores de configuración mediante el ajuste del sistema avanzado Security.PasswordQualityControl de vSphere Client.

Por ejemplo, puede cambiar la opción por la siguiente. 

retry=3 min=disabled,disabled,16,7,7

Este ejemplo permite frases de contraseña de al menos 16 caracteres y al menos tres palabras.

Modificar las restricciones predeterminadas de contraseña

Puede cambiar la restricción predeterminada de contraseñas y frases de contraseña con el ajuste del sistema avanzado Security.PasswordQualityControl para su host ESXi. Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre cómo cambiar los ajustes avanzados del sistema de ESXi.

Puede cambiar el valor predeterminado, por ejemplo, para requerir un mínimo de 15 caracteres y una cantidad mínima de cuatro palabras ( passphrase=4) de la siguiente manera: 
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Para obtener más información, consulte la página del manual de pam_passwdqc.
Nota: Aún no se han probado todas las combinaciones posibles de opciones de contraseña. Después de cambiar la configuración de contraseña predeterminada, realice una prueba adicional.

En este ejemplo, se establece el requisito de complejidad de contraseña para requerir ocho caracteres de cuatro clases que aplican una diferencia significativa de contraseñas, un historial recordado de cinco contraseñas y una directiva de rotación de 90 días:

min=disabled,disabled,disabled,disabled,8 similar=deny

Comportamiento del bloqueo de cuentas de ESXi

Se admite el bloqueo de cuentas para el acceso a través de SSH y vSphere Web Services SDK. La interfaz de la consola directa (DCUI) y ESXi Shell no admiten el bloqueo de cuentas. De forma predeterminada, se permite un máximo de cinco intentos con errores antes de que la cuenta se bloquee. De forma predeterminada, la cuenta se desbloquea después de 15 minutos.

Configurar el comportamiento de inicio de sesión

Puede configurar el comportamiento de inicio de sesión del host ESXi con los siguientes ajustes del sistema avanzados:
  • Security.AccountLockFailures. Cantidad máxima de intentos de inicio de sesión con errores antes de que la cuenta de un usuario se bloquee. Cero desactiva el bloqueo de cuentas.
  • Security.AccountUnlockTime. Cantidad de segundos en los que el usuario queda bloqueado.
  • Security.PasswordHistory. Número de contraseñas que se deben recordar para cada usuario. A partir de vSphere 8.0 Update 1, el valor predeterminado es cinco. Cero desactiva el historial de contraseñas.

Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre la configuración de las opciones avanzadas de ESXi.