Une stratégie de complexité de mot de passe définit les exigences minimales pour la définition du mot de passe d'un compte. Les paramètres sont différents selon le type de compte et le composant de l'instance de VMware Cloud Foundation.
Composant de gestion | Paramètres de complexité du mot de passe | Portée |
---|---|---|
ESXi |
|
Utilisateur local |
vCenter Single Sign-On |
|
Domaine vCenter Single Sign-On |
vCenter Server |
|
Utilisateur local |
NSX Manager |
|
Utilisateur local |
NSX Edge |
|
Utilisateur local |
SDDC Manager |
|
Utilisateur local |
Conditions préalables
Reportez-vous à la section Conditions préalables à la configuration de la stratégie de mot de passe.
Configurer la stratégie de complexité des mots de passe de l'utilisateur local pour ESXi
Définissez les exigences pour les mots de passe d'utilisateur local pour les hôtes ESXi dans VMware Cloud Foundation, notamment la longueur requise, les classes de caractères ou l'autorisation de phrases secrètes.
Paramètre |
Valeur par défaut |
---|---|
Security.PasswordHistory |
0 |
Security.PasswordQualityControl |
retry=3 min=disabled,disabled,disabled,7,7 |
Pour plus d'informations sur le format des paramètres Security.PasswordQualityControl
, reportez-vous à la section Verrouillage des mots de passe et des comptes ESXi dans la documentation Sécurité vSphere.
Procédure de l'interface utilisateur
- Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
- Dans l'inventaire Hôtes et clusters, accédez au premier cluster vSphere et développez-le.
Sélectionnez le premier hôte ESXi et cliquez sur l'onglet Configurer.
Dans la section Système, cliquez sur Paramètres système avancés.
Sur la page Paramètres système avancés, cliquez sur Modifier.
Dans la zone de texte de filtre de clé, entrez Security.PasswordHistory et configurez les paramètres en fonction des exigences de votre organisation.
Dans la zone de texte de filtre de clés, entrez Security.PasswordQualityControl, entrez des valeurs pour les paramètres en fonction des exigences de votre organisation, puis cliquez sur OK.
Répétez cette procédure sur tous les hôtes restants dans le cluster.
Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail.
Répétez cette procédure pour tous les autres domaines de charge de travail et leurs clusters.
Procédure PowerShell
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $policy = "retry=3 min=disabled,disabled,disabled,7,7” $history = "3"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-EsxiPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -policy $policy -history $history
Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail
$sddcDomainName
.Répétez cette procédure pour tous les clusters dans les domaines de charge de travail restants.
Configurer la stratégie de complexité des mots de passe pour vCenter Single Sign-On
Définissez les exigences du format de mot de passe pour le fournisseur d'identité vCenter Single Sign-On intégré pour VMware Cloud Foundation.
La stratégie de complexité des mots de passe s'applique uniquement aux comptes d'utilisateur du domaine vsphere.local du fournisseur d'identité vCenter Single Sign-On intégré. La stratégie ne s'applique pas aux comptes système locaux et à [email protected].
Paramètre |
Valeur par défaut |
---|---|
Restreindre la réutilisation |
5 |
Longueur maximale |
20 |
Longueur minimale |
8 |
Caractères spéciaux |
1 |
Caractères alphabétiques |
2 |
Caractères majuscules |
1 |
Caractères minuscules |
1 |
Caractères numériques |
1 |
Caractères identiques adjacents |
1 |
Procédure de l'interface utilisateur
- Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
- Dans le menu vSphere Client, sélectionnez Administration.
Dans la section Single Sign-On, cliquez sur Configuration.
Sur la page Configuration, cliquez sur l'onglet Comptes locaux.
Dans la section Stratégie de mot de passe, cliquez sur Modifier.
Modifiez les paramètres en fonction des exigences de votre organisation et cliquez sur Enregistrer.
Procédure PowerShell
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "8" $maxLength = "20" $minAlphabetic = "2" $minLowercase = "1" $minUppercase = "1" $minNumerical = "1" $minSpecial = "1" $maxIdenticalAdjacent = "1" $history = "5"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-SsoPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -maxLength $maxLength -minAlphabetic $minAlphabetic -minLowercase $minLowercase -minUppercase $minUppercase -minNumeric $minNumerical -minSpecial $minSpecial -maxIdenticalAdjacent $maxIdenticalAdjacent -history $history
Configurer la stratégie de complexité des mots de passe des utilisateurs locaux pour vCenter Server
Définissez les exigences du format de mot de passe pour les utilisateurs locaux des vCenter Server Appliance dans VMware Cloud Foundation. Par exemple le compte racine.
Paramètre |
Valeur par défaut |
Description |
---|---|---|
minlen |
6 |
Longueur minimale du mot de passe |
lcredit |
-1 |
Nombre maximal de caractères minuscules qui généreront un crédit |
ccredit |
-1 |
Nombre maximal de caractères majuscules qui généreront un crédit |
dcredit |
-1 |
Nombre maximal de chiffres qui généreront un crédit |
ocredit |
-1 |
Nombre maximal d'autres caractères qui généreront un crédit |
difok |
4 |
Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe |
mémoriser |
5 |
Nombre maximal de mots de passe mémorisés par le système |
Procédure de l'interface utilisateur
Connectez-vous à vCenter Server Appliance pour un domaine de charge de travail à l'aide de SSH en tant que racine.
Activez l'accès au shell.
shell
- Sauvegardez les exigences de mot de passe pour le dispositif à l'aide de la commande suivante.
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
-
Définissez ces paramètres en fonction des exigences de votre organisation à l'aide des commandes suivantes.
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-passwords sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
Répétez cette procédure sur l'instance de vCenter Server pour les domaines de charge de travail restants.
Procédure PowerShell
- Démarrez Windows PowerShell.
- Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "6" $minLowercase = "-1" $minUppercase = "-1" $minNumeric = "-1" $minSpecial = "-1" $minUnique = "4" $history = "5"
- Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-VcenterPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumeric -minSpecial $minSpecial -minUnique $minUnique -history $history
- Répétez cette procédure pour tous les domaines de charge de travail VI.
Configurer la stratégie de complexité du mot de passe de l'utilisateur local pour NSX Manager
Définissez les exigences de format de mot de passe pour les utilisateurs locaux des dispositifs NSX Manager dans VMware Cloud Foundation.
Paramètre |
Valeur par défaut |
Description |
---|---|---|
minlen |
12 |
Longueur minimale du mot de passe
Note :
Si votre stratégie de mot de passe nécessite de définir la longueur minimale du mot de passe sur une valeur supérieure à 20, vous ne pouvez pas utiliser la rotation des mots de passe dans SDDC Manager. |
lcredit |
-1 |
Nombre maximal de caractères minuscules qui généreront un crédit |
ccredit |
-1 |
Nombre maximal de caractères majuscules qui généreront un crédit |
dcredit |
-1 |
Nombre maximal de chiffres qui généreront un crédit |
ocredit |
-1 |
Nombre maximal d'autres caractères qui généreront un crédit |
difok |
0 |
Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe |
MAX_PASSWORD_LEN | 128 | Longueur maximale du mot de passe |
maxrepeat | 0 | Nombre maximal de caractères consécutifs autorisés |
maxsequence | 0 | Nombre maximal de fois qu'un caractère unique peut être répété |
mémoriser | 0 | Nombre maximal de mots de passe mémorisés par le système |
hash_algorithm | sha512 | Algorithme de hachage |
Procédure de l'interface utilisateur
- Connectez-vous à vCenter Server à l'adresse https://<vcenter_server_fqdn>/ui en tant que [email protected].
- Développez le dossier de la machine virtuelle contenant le cluster NSX Manager pour le domaine de gestion.
- Sélectionnez le premier nœud du cluster NSX Manager, puis cliquez sur Lancer la console Web.
- Connectez-vous au nœud NSX Manager en tant qu'admin.
- Commencez à modifier la stratégie de complexité du mot de passe en exécutant la commande set password-complexity.
- Lorsque vous y êtes invité, définissez de manière interactive les paramètres de complexité du mot de passe en fonction des exigences de votre organisation.
Minimum password length (leave empty to not change): <your_value> Maximum password length (leave empty to not change): <your_value> Lower characters (leave empty to not change): <your_value> Upper characters (leave empty to not change): <your_value> Numeric characters (leave empty to not change): <your_value> Special characters (leave empty to not change): <your_value> Minimum unique characters (leave empty to not change): <your_value> Allowed similar consecutives (leave empty to not change): <your_value> Allowed monotonic sequence (leave empty to not change): <your_value> Hash algorithm (leave empty to not change): <your_value> Password remembrance (leave empty to not change): <your_value>
- Répétez cette procédure sur les nœuds NSX Local Manager restants pour le domaine de gestion.
- Répétez cette procédure sur les clusters NSX Local Manager pour tous les domaines de charge de travail VI.
- Répétez cette procédure sur tous les nœuds de gestionnaire global NSX.
Procédure PowerShell
- Démarrez Windows PowerShell.
- Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "12" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "0" $maxLength = "128" $maxRepeats = "0" $maxSequence = "0" $history = "0" $hashAlgorithm = "sha512"
- Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-NsxtManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxLength $maxLenth -maxRepeats $maxRepeats -maxSequence $maxSequence -history $history -hash_algorithm $hashAlgorithm
- Répétez cette procédure sur les clusters NSX Local Manager pour tous les domaines de charge de travail VI.
- Configurez manuellement les stratégies de complexité de mot de passe sur tous les clusters de gestionnaire global NSX dans la console du dispositif de chaque nœud.
Configurer la stratégie de complexité des mots de passe de l'utilisateur local pour NSX Edge
Définissez les exigences de format de mot de passe pour les utilisateurs locaux sur le dispositif NSX Edge dans VMware Cloud Foundation.
Paramètre |
Valeur par défaut |
Description |
---|---|---|
minlen |
15 |
Longueur minimale du mot de passe
Note :
Si votre stratégie de mot de passe nécessite de définir la longueur minimale du mot de passe sur une valeur supérieure à 20, vous ne pouvez pas utiliser la rotation des mots de passe dans SDDC Manager. |
lcredit |
-1 |
Nombre maximal de caractères minuscules qui généreront un crédit |
ccredit |
-1 |
Nombre maximal de caractères majuscules qui généreront un crédit |
dcredit |
-1 |
Nombre maximal de chiffres qui généreront un crédit |
ocredit |
-1 |
Nombre maximal d'autres caractères qui généreront un crédit |
difok |
0 |
Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe |
réessayer |
3 |
Nombre maximal de tentatives |
Procédure de l'interface utilisateur
Si vous configurez un dispositif virtuel NSX Edge, ouvrez la console de ce dernier à l'aide de la console Web dans vSphere Client.
- Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
Dans l'inventaire VM et modèles, accédez au dossier de la VM contenant le cluster NSX Edge pour le domaine de charge de travail et développez-le.
Sélectionnez le premier nœud du cluster NSX Edge, puis cliquez sur Lancer la console Web.
Si vous configurez un dispositif NSX Edge bare metal, ouvrez la console du dispositif à l'aide d'une interface de gestion hors bande, telle qu'iLO ou iDRAC.
Connectez-vous au nœuds NSX Edge en tant que racine.
Sauvegardez les exigences de mot de passe pour le dispositif à l'aide de la commande suivante.
cp -p /etc/pam.d/common-password /etc/pam.d/common-password-`date +%F_%H:%M:%S`.back
Définissez ces paramètres en fonction des exigences de votre organisation à l'aide des commandes suivantes.
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/common-password
Répétez cette procédure sur les nœuds de cluster NSX Edge restants dans le domaine de charge de travail.
Répétez cette procédure sur tous les clusters NSX Edge dans les domaines de charge de travail restants.
Procédure PowerShell
Vous pouvez utiliser la commande PowerShell pour configurer les stratégies de complexité de mot de passe uniquement sur les nœuds NSX Edge dans VMware Cloud Foundation qui sont déployés en utilisant SDDC Manager. Pour les dispositifs virtuels NSX Edge déployés manuellement et pour les dispositifs NSX Edge bare metal, configurez les stratégies manuellement conformément à la documentation de NSX.
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "15" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "0" $maxRetry = "3"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-NsxtEdgePasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxRetry $maxRetry
Répétez cette procédure pour tous les clusters NSX Edge dans les domaines de charge de travail restants.
Configurer la stratégie de complexité du mot de passe de l'utilisateur local pour SDDC Manager
Définissez les exigences de format de mot de passe pour les utilisateurs locaux du dispositif SDDC Manager.
Paramètre |
Valeur par défaut |
Description |
---|---|---|
minlen |
8 |
Longueur minimale du mot de passe |
lcredit |
-1 |
Nombre maximal de caractères minuscules qui généreront un crédit |
ccredit |
-1 |
Nombre maximal de caractères majuscules qui généreront un crédit |
dcredit |
-1 |
Nombre maximal de chiffres qui généreront un crédit |
ocredit |
-1 |
Nombre maximal d'autres caractères qui généreront un crédit |
minclass |
4 |
Nombre minimal de types de caractères qui doivent être utilisés (c'est-à-dire majuscules, minuscules, chiffres, autres) |
difok |
4 |
Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe |
réessayer |
3 |
Nombre maximal de tentatives |
maxsequence |
0 |
Nombre maximal de fois qu'un caractère unique peut être répété |
mémoriser |
5 |
Nombre maximal de mots de passe mémorisés par le système |
Procédure de l'interface utilisateur
- Connectez-vous au dispositif SDDC Manager à l'aide de SSH en tant que vcf.
- Passez à l'utilisateur racine.
su -
- Sauvegardez les exigences de mot de passe à l'aide de la commande suivante.
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
Définissez ces paramètres en fonction des exigences de votre organisation à l'aide des commandes suivantes.
sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
Procédure PowerShell
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $minLength = "6" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "4" $minClass = "4" $maxSequence = "0" $history = "5" $maxRetry = "3"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-SddcManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -minClass $minClass -maxSequence $maxSequence -history $history -maxRetry $maxRetry