Par mesure de sécurité, vous pouvez effectuer une rotation des mots de passe pour les composants de votre instance de VMware Cloud Foundation. Le processus de rotation des mots de passe génère des mots de passe aléatoires pour les comptes sélectionnés. Vous pouvez effectuer une rotation manuelle des mots de passe ou configurer la rotation automatique pour les comptes gérés par SDDC Manager.

Vous pouvez effectuer une rotation des mots de passe pour les comptes suivants.

  • ESXi
    Note : La rotation automatique n'est pas prise en charge pour ESXi.
  • vCenter Server

    Par défaut, le mot de passe racine de l'instance de vCenter Server expire après 90 jours.

    Note : La rotation automatique est automatiquement activée pour les comptes de service vCenter Server. La configuration de la stratégie de rotation automatique du compte de service pour une instance de vCenter Server récemment déployée peut prendre jusqu'à 24 heures.
  • vSphere Single Sign-On (PSC)
  • Nœuds NSX Edge
  • NSX Manager
  • vRealize Suite Lifecycle Manager
  • vRealize Log Insight
  • vRealize Operations
  • vRealize Automation
  • Workspace ONE Access
    Note : Pour les mots de passe Workspace ONE Access, la méthode de rotation des mots de passe varie selon le compte d'utilisateur. Voir le tableau ci-dessous pour plus d'informations.
  • Utilisateur backup de SDDC Manager
Tableau 1. Détails de la rotation des mots de passe pour les comptes d'utilisateurs Workspace ONE Access

Compte d'utilisateur Workspace ONE Access

Entrée du Locker vRealize Suite Lifecycle Manager

Méthode de rotation des mots de passe

Portée de la rotation des mots de passe

admin (443)

xint-wsa-admin

Rotation du mot de passe de SDDC Manager

Application

admin (8443)

xint-wsa-admin

Environnement global vRealize Suite Lifecycle Manager

Par nœud

configadmin (443)

xint-wsa-configadmin

  1. Réinitialisez le mot de passe de l'utilisateur configadmin dans Workspace ONE Access via le lien de réinitialisation par e-mail.
  2. Créez un objet d'informations d'identification dans le Locker vRealize Suite Lifecycle Manager pour qu'il corresponde au nouveau mot de passe.
  3. Mettez à jour l'objet d'informations d'identification référencé par globalEnvironment dans le Locker vRealize Suite Lifecycle Manager vers le nouvel objet d'informations d'identification.

Application

sshuser

global-env-admin

Environnement global vRealize Suite Lifecycle Manager

Par nœud

racine (SSH)

xint-wsa-root

Rotation du mot de passe de SDDC Manager

Par nœud

La stratégie de mot de passe par défaut pour les mots de passe ayant fait l'objet d'une rotation requiert les éléments suivants :
  • 20 caractères
  • Au moins une lettre majuscule, un chiffre et l'un des caractères spéciaux suivants : ! @ # $ ^ *
  • Pas plus de deux caractères identiques consécutifs

Si vous avez modifié la longueur du mot de passe de vCenter Server à l'aide de vSphere Client ou celle du mot de passe ESXi à l'aide de VMware Host Client, la rotation des mots de passe de ces composants à partir de SDDC Manager génère un mot de passe conforme à la longueur du mot de passe que vous avez spécifiée.

Pour mettre à jour les mots de passe racine, de super utilisateur et d'API de SDDC Manager, reportez-vous à la section Mise à jour des mots de passe de SDDC Manager.

Conditions préalables

  • Vérifiez que SDDC Manager ne contient actuellement aucun workflow ayant échoué. Pour rechercher des workflows ayant échoué, cliquez sur Tableau de bord dans le volet de navigation et développez le volet Tâches en bas de la page.
  • Vérifiez qu'aucun workflow actif n'est en cours d'exécution ni planifié pour s'exécuter pendant la courte période d'exécution du processus de rotation des mots de passe. Il est recommandé de planifier la rotation des mots de passe pendant une période où vous ne prévoyez l'exécution d'aucun workflow.
  • Seul un utilisateur disposant du rôle ADMIN peut effectuer cette tâche.

Procédure

  1. Dans le volet de navigation, cliquez sur Sécurité > Gestion des mots de passe.
  2. Cliquez sur l'onglet du composant qui inclut les comptes pour lesquels vous souhaitez effectuer la rotation des mots de passe.
    Gestion des mots de passe pour les comptes ESXi.
    Par exemple, ESXI.
  3. Sélectionnez un ou plusieurs comptes, puis cliquez sur l'une des opérations suivantes.
    • Rotation
    • Planifier la rotation
      Vous pouvez définir l'intervalle de rotation des mots de passe (30, 60 ou 90 jours). Vous pouvez également désactiver la planification.
      Note : La planification de la rotation automatique est configurée pour s'exécuter à minuit à la date planifiée. Si la rotation automatique n'a pas pu démarrer en raison d'un problème technique, elle est retentée automatiquement toutes les heures jusqu'au début du jour suivant. Si la rotation planifiée est manquée en raison de problèmes techniques, l'interface utilisateur affiche une notification globale avec l'état d'échec de la tâche. L'état de la rotation planifiée peut également être vérifié dans le panneau Tâches.
    Un message s'affiche en haut de la page indiquant la progression de l'opération. Le panneau Tâches affiche également l'état détaillé de l'opération de rotation des mots de passe. Pour afficher les sous-tâches, cliquez sur le nom d'une tâche. Lors de l'exécution de chacune de ces tâches, l'état est mis à jour. Si la tâche échoue, vous pouvez cliquer sur Réessayer.

Résultats

La rotation des mots de passe est terminée lorsque toutes les sous-tâches sont terminées.