Une stratégie de complexité de mot de passe définit les exigences minimales pour la définition du mot de passe d'un compte. Les paramètres sont différents selon le type de compte et le composant de l'instance de VMware Cloud Foundation.

Composant de gestion Paramètres de complexité du mot de passe Portée
ESXi
  • Longueur minimale
  • Nombre minimal de caractères minuscules
  • Nombre minimal de caractères majuscules
  • Nombre minimal de caractères numériques
  • Nombre minimal de caractères spéciaux
  • Nombre minimal de mots de passe uniques avant réutilisation
Utilisateur local
vCenter Single Sign-On
  • Longueur minimale
  • Longueur maximale
  • Nombre minimal de caractères alphabétiques
  • Nombre minimal de caractères minuscules
  • Nombre minimal de caractères majuscules
  • Nombre minimal de caractères numériques
  • Nombre minimal de caractères spéciaux
  • Nombre maximal de caractères identiques consécutifs
  • Nombre minimal de mots de passe uniques avant réutilisation
Domaine vCenter Single Sign-On
vCenter Server
  • Longueur minimale
  • Nombre minimal de caractères minuscules
  • Nombre minimal de caractères majuscules
  • Nombre minimal de caractères numériques
  • Nombre minimal de caractères spéciaux
  • Nombre minimal de mots de passe uniques avant réutilisation
Utilisateur local
NSX Manager
  • Longueur minimale
  • Nombre minimal de caractères minuscules
  • Nombre minimal de caractères majuscules
  • Nombre minimal de caractères numériques
  • Nombre minimal de caractères spéciaux
  • Nombre minimal de caractères différents de l'ancien mot de passe
Utilisateur local
NSX Edge
  • Longueur minimale
  • Nombre minimal de caractères minuscules
  • Nombre minimal de caractères majuscules
  • Nombre minimal de caractères numériques
  • Nombre minimal de caractères spéciaux
  • Nombre minimal de caractères différents de l'ancien mot de passe
Utilisateur local
SDDC Manager
  • Longueur minimale
  • Nombre minimal de caractères minuscules
  • Nombre minimal de caractères majuscules
  • Nombre minimal de caractères numériques
  • Nombre minimal de caractères spéciaux
  • Nombre minimal de caractères différents de l'ancien mot de passe
  • Nombre minimal de mots de passe uniques avant réutilisation
Utilisateur local

Conditions préalables

Reportez-vous à la section Conditions préalables à la configuration de la stratégie de mot de passe.

Configurer la stratégie de complexité des mots de passe de l'utilisateur local pour ESXi

Définissez les exigences pour les mots de passe d'utilisateur local pour les hôtes ESXi dans VMware Cloud Foundation, notamment la longueur requise, les classes de caractères ou l'autorisation de phrases secrètes.

Paramètre

Valeur par défaut

Security.PasswordHistory

0

Security.PasswordQualityControl

retry=3 min=disabled,disabled,disabled,7,7

Pour plus d'informations sur le format des paramètres Security.PasswordQualityControl, reportez-vous à la section Verrouillage des mots de passe et des comptes ESXi dans la documentation Sécurité vSphere.

Procédure de l'interface utilisateur

  1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
  2. Dans l'inventaire Hôtes et clusters, accédez au premier cluster vSphere et développez-le.
  3. Sélectionnez le premier hôte ESXi et cliquez sur l'onglet Configurer.

  4. Dans la section Système, cliquez sur Paramètres système avancés.

  5. Sur la page Paramètres système avancés, cliquez sur Modifier.

  6. Dans la zone de texte de filtre de clé, entrez Security.PasswordHistory et configurez les paramètres en fonction des exigences de votre organisation.

  7. Dans la zone de texte de filtre de clés, entrez Security.PasswordQualityControl, entrez des valeurs pour les paramètres en fonction des exigences de votre organisation, puis cliquez sur OK.

  8. Répétez cette procédure sur tous les hôtes restants dans le cluster.

  9. Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail.

  10. Répétez cette procédure pour tous les autres domaines de charge de travail et leurs clusters.

Procédure PowerShell

  1. Démarrez Windows PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    $cluster = "sfo-m01-cl01"
    
    $policy = "retry=3 min=disabled,disabled,disabled,7,7”
    $history = "3"
    
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-EsxiPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -policy $policy -history $history
  4. Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail $sddcDomainName.

  5. Répétez cette procédure pour tous les clusters dans les domaines de charge de travail restants.

Configurer la stratégie de complexité des mots de passe pour vCenter Single Sign-On

Définissez les exigences du format de mot de passe pour le fournisseur d'identité vCenter Single Sign-On intégré pour VMware Cloud Foundation.

La stratégie de complexité des mots de passe s'applique uniquement aux comptes d'utilisateur du domaine vsphere.local du fournisseur d'identité vCenter Single Sign-On intégré. La stratégie ne s'applique pas aux comptes système locaux et à [email protected].

Paramètre

Valeur par défaut

Restreindre la réutilisation

5

Longueur maximale

20

Longueur minimale

8

Caractères spéciaux

1

Caractères alphabétiques

2

Caractères majuscules

1

Caractères minuscules

1

Caractères numériques

1

Caractères identiques adjacents

1

Procédure de l'interface utilisateur

  1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
  2. Dans le menu vSphere Client, sélectionnez Administration.
  3. Dans la section Single Sign-On, cliquez sur Configuration.

  4. Sur la page Configuration, cliquez sur l'onglet Comptes locaux.

  5. Dans la section Stratégie de mot de passe, cliquez sur Modifier.

  6. Modifiez les paramètres en fonction des exigences de votre organisation et cliquez sur Enregistrer.

Procédure PowerShell

  1. Démarrez Windows PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "8"
    $maxLength = "20"
    $minAlphabetic = "2"
    $minLowercase = "1"
    $minUppercase = "1"
    $minNumerical = "1"
    $minSpecial = "1"
    $maxIdenticalAdjacent = "1"
    $history = "5"
    
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-SsoPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -maxLength $maxLength -minAlphabetic $minAlphabetic -minLowercase $minLowercase -minUppercase $minUppercase -minNumeric $minNumerical -minSpecial $minSpecial -maxIdenticalAdjacent $maxIdenticalAdjacent -history $history

Configurer la stratégie de complexité des mots de passe des utilisateurs locaux pour vCenter Server

Définissez les exigences du format de mot de passe pour les utilisateurs locaux des vCenter Server Appliance dans VMware Cloud Foundation. Par exemple le compte racine.

Paramètre

Valeur par défaut

Description

minlen

6

Longueur minimale du mot de passe

lcredit

-1

Nombre maximal de caractères minuscules qui généreront un crédit

ccredit

-1

Nombre maximal de caractères majuscules qui généreront un crédit

dcredit

-1

Nombre maximal de chiffres qui généreront un crédit

ocredit

-1

Nombre maximal d'autres caractères qui généreront un crédit

difok

4

Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe

mémoriser

5

Nombre maximal de mots de passe mémorisés par le système

Procédure de l'interface utilisateur

  1. Connectez-vous à vCenter Server Appliance pour un domaine de charge de travail à l'aide de SSH en tant que racine.

  2. Activez l'accès au shell.

    shell
  3. Sauvegardez les exigences de mot de passe pour le dispositif à l'aide de la commande suivante.
    cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
  4. Définissez ces paramètres en fonction des exigences de votre organisation à l'aide des commandes suivantes.

    sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-passwords
    sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
  5. Répétez cette procédure sur l'instance de vCenter Server pour les domaines de charge de travail restants.

Procédure PowerShell

  1. Démarrez Windows PowerShell.
  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "6"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumeric = "-1"
    $minSpecial = "-1"
    $minUnique = "4"
    $history = "5"
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.
    Update-VcenterPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumeric -minSpecial $minSpecial -minUnique $minUnique -history $history
  4. Répétez cette procédure pour tous les domaines de charge de travail VI.

Configurer la stratégie de complexité du mot de passe de l'utilisateur local pour NSX Manager

Définissez les exigences de format de mot de passe pour les utilisateurs locaux des dispositifs NSX Manager dans VMware Cloud Foundation.

Paramètre

Valeur par défaut

Description

minlen

12

Longueur minimale du mot de passe

Note :

Si votre stratégie de mot de passe nécessite de définir la longueur minimale du mot de passe sur une valeur supérieure à 20, vous ne pouvez pas utiliser la rotation des mots de passe dans SDDC Manager.

lcredit

-1

Nombre maximal de caractères minuscules qui généreront un crédit

ccredit

-1

Nombre maximal de caractères majuscules qui généreront un crédit

dcredit

-1

Nombre maximal de chiffres qui généreront un crédit

ocredit

-1

Nombre maximal d'autres caractères qui généreront un crédit

difok

0

Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe

MAX_PASSWORD_LEN 128 Longueur maximale du mot de passe
maxrepeat 0 Nombre maximal de caractères consécutifs autorisés
maxsequence 0 Nombre maximal de fois qu'un caractère unique peut être répété
mémoriser 0 Nombre maximal de mots de passe mémorisés par le système
hash_algorithm sha512 Algorithme de hachage

Procédure de l'interface utilisateur

  1. Connectez-vous à vCenter Server à l'adresse https://<vcenter_server_fqdn>/ui en tant que [email protected].
  2. Développez le dossier de la machine virtuelle contenant le cluster NSX Manager pour le domaine de gestion.
  3. Sélectionnez le premier nœud du cluster NSX Manager, puis cliquez sur Lancer la console Web.
  4. Connectez-vous au nœud NSX Manager en tant qu'admin.
  5. Commencez à modifier la stratégie de complexité du mot de passe en exécutant la commande set password-complexity.
  6. Lorsque vous y êtes invité, définissez de manière interactive les paramètres de complexité du mot de passe en fonction des exigences de votre organisation.
    Minimum password length (leave empty to not change): <your_value>
    Maximum password length (leave empty to not change): <your_value>
    Lower characters (leave empty to not change): <your_value>
    Upper characters (leave empty to not change): <your_value>
    Numeric characters (leave empty to not change): <your_value>
    Special characters (leave empty to not change): <your_value>
    Minimum unique characters (leave empty to not change): <your_value>
    Allowed similar consecutives (leave empty to not change): <your_value>
    Allowed monotonic sequence (leave empty to not change): <your_value>
    Hash algorithm (leave empty to not change): <your_value>
    Password remembrance (leave empty to not change): <your_value>
  7. Répétez cette procédure sur les nœuds NSX Local Manager restants pour le domaine de gestion.
  8. Répétez cette procédure sur les clusters NSX Local Manager pour tous les domaines de charge de travail VI.
  9. Répétez cette procédure sur tous les nœuds de gestionnaire global NSX.

Procédure PowerShell

  1. Démarrez Windows PowerShell.
  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "12"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumerical = "-1"
    $minSpecial = "-1"
    $minUnique = "0"
    $maxLength = "128"
    $maxRepeats = "0"
    $maxSequence = "0"
    $history = "0"
    $hashAlgorithm = "sha512"
    
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.
    Update-NsxtManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxLength $maxLenth -maxRepeats $maxRepeats -maxSequence $maxSequence -history $history -hash_algorithm $hashAlgorithm
  4. Répétez cette procédure sur les clusters NSX Local Manager pour tous les domaines de charge de travail VI.
  5. Configurez manuellement les stratégies de complexité de mot de passe sur tous les clusters de gestionnaire global NSX dans la console du dispositif de chaque nœud.

Configurer la stratégie de complexité des mots de passe de l'utilisateur local pour NSX Edge

Définissez les exigences de format de mot de passe pour les utilisateurs locaux sur le dispositif NSX Edge dans VMware Cloud Foundation.

Paramètre

Valeur par défaut

Description

minlen

15

Longueur minimale du mot de passe

Note :

Si votre stratégie de mot de passe nécessite de définir la longueur minimale du mot de passe sur une valeur supérieure à 20, vous ne pouvez pas utiliser la rotation des mots de passe dans SDDC Manager.

lcredit

-1

Nombre maximal de caractères minuscules qui généreront un crédit

ccredit

-1

Nombre maximal de caractères majuscules qui généreront un crédit

dcredit

-1

Nombre maximal de chiffres qui généreront un crédit

ocredit

-1

Nombre maximal d'autres caractères qui généreront un crédit

difok

0

Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe

réessayer

3

Nombre maximal de tentatives

Procédure de l'interface utilisateur

  1. Si vous configurez un dispositif virtuel NSX Edge, ouvrez la console de ce dernier à l'aide de la console Web dans vSphere Client.

    1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
    2. Dans l'inventaire VM et modèles, accédez au dossier de la VM contenant le cluster NSX Edge pour le domaine de charge de travail et développez-le.

    3. Sélectionnez le premier nœud du cluster NSX Edge, puis cliquez sur Lancer la console Web.

  2. Si vous configurez un dispositif NSX Edge bare metal, ouvrez la console du dispositif à l'aide d'une interface de gestion hors bande, telle qu'iLO ou iDRAC.

  3. Connectez-vous au nœuds NSX Edge en tant que racine.

  4. Sauvegardez les exigences de mot de passe pour le dispositif à l'aide de la commande suivante.

    cp -p /etc/pam.d/common-password /etc/pam.d/common-password-`date +%F_%H:%M:%S`.back
    
  5. Définissez ces paramètres en fonction des exigences de votre organisation à l'aide des commandes suivantes.

    sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/common-password
  6. Répétez cette procédure sur les nœuds de cluster NSX Edge restants dans le domaine de charge de travail.

  7. Répétez cette procédure sur tous les clusters NSX Edge dans les domaines de charge de travail restants.

Procédure PowerShell

Vous pouvez utiliser la commande PowerShell pour configurer les stratégies de complexité de mot de passe uniquement sur les nœuds NSX Edge dans VMware Cloud Foundation qui sont déployés en utilisant SDDC Manager. Pour les dispositifs virtuels NSX Edge déployés manuellement et pour les dispositifs NSX Edge bare metal, configurez les stratégies manuellement conformément à la documentation de NSX.

  1. Démarrez Windows PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "15"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumerical = "-1"
    $minSpecial = "-1"
    $minUnique = "0"
    $maxRetry = "3"
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-NsxtEdgePasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxRetry $maxRetry
  4. Répétez cette procédure pour tous les clusters NSX Edge dans les domaines de charge de travail restants.

Configurer la stratégie de complexité du mot de passe de l'utilisateur local pour SDDC Manager

Définissez les exigences de format de mot de passe pour les utilisateurs locaux du dispositif SDDC Manager.

Paramètre

Valeur par défaut

Description

minlen

8

Longueur minimale du mot de passe

lcredit

-1

Nombre maximal de caractères minuscules qui généreront un crédit

ccredit

-1

Nombre maximal de caractères majuscules qui généreront un crédit

dcredit

-1

Nombre maximal de chiffres qui généreront un crédit

ocredit

-1

Nombre maximal d'autres caractères qui généreront un crédit

minclass

4

Nombre minimal de types de caractères qui doivent être utilisés (c'est-à-dire majuscules, minuscules, chiffres, autres)

difok

4

Nombre minimal de caractères qui doivent être différents de l'ancien mot de passe

réessayer

3

Nombre maximal de tentatives

maxsequence

0

Nombre maximal de fois qu'un caractère unique peut être répété

mémoriser

5

Nombre maximal de mots de passe mémorisés par le système

Procédure de l'interface utilisateur

  1. Connectez-vous au dispositif SDDC Manager à l'aide de SSH en tant que vcf.
  2. Passez à l'utilisateur racine.
    su -
  3. Sauvegardez les exigences de mot de passe à l'aide de la commande suivante.
    cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
  4. Définissez ces paramètres en fonction des exigences de votre organisation à l'aide des commandes suivantes.

    sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password

Procédure PowerShell

  1. Démarrez Windows PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    # Replace with the name of your management domain
    $sddcDomainName = "sfo-m01"
    
    $rootPass = "VMw@re1!"
    $minLength = "6"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumerical = "-1"
    $minSpecial = "-1"
    $minUnique = "4"
    $minClass = "4"
    $maxSequence = "0"
    $history = "5"
    $maxRetry = "3"
    
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-SddcManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -minClass $minClass -maxSequence $maxSequence -history $history -maxRetry $maxRetry