Une stratégie de verrouillage de compte définit le comportement du système lorsque des informations d'identification incorrectes sont utilisées pour l'authentification sur le système. Les paramètres sont différents selon le type de compte et le composant de l'instance de VMware Cloud Foundation.
Composant de gestion | Paramètres de verrouillage de compte | Portée |
---|---|---|
ESXi |
|
Utilisateur local |
vCenter Single Sign-On |
|
Domaine vCenter Single Sign-On |
vCenter Server |
|
Utilisateur local |
NSX Manager |
|
Utilisateur local |
NSX Edge |
|
Utilisateur local |
SDDC Manager |
|
Utilisateur local |
Conditions préalables
Reportez-vous à la section Conditions préalables à la configuration de la stratégie de mot de passe.
Configurer la stratégie de verrouillage de compte local pour ESXi
Définissez le nombre maximal de tentatives de connexion infructueuses et le délai qui doit s'écouler avant qu'un compte local sur un hôte ESXi dans VMware Cloud Foundation soit automatiquement déverrouillé.
Paramètre |
Valeur par défaut |
---|---|
Security.AccountLockFailures |
5 |
Security.AccountUnlockTime |
900 |
Procédure de l'interface utilisateur
- Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
Dans l'inventaire Hôtes et clusters, accédez au premier cluster vSphere et développez-le.
Sélectionnez le premier hôte ESXi et cliquez sur l'onglet Configurer.
Dans la section Système, cliquez sur Paramètres système avancés.
Sur la page Paramètres système avancés, cliquez sur Modifier.
Dans la zone de texte de filtre de clé, entrez Security.AccountLockFailures et entrez une valeur en fonction des exigences de votre organisation.
Dans la zone de texte de filtre de clé, entrez Security.AccountUnlockTime, entrez une valeur en fonction des exigences de votre organisation, puis cliquez sur OK.
Répétez cette procédure sur les hôtes restants dans le cluster.
Répétez cette procédure sur les clusters restants dans le domaine de charge de travail.
Répétez cette procédure sur tous les clusters des domaines de charge de travail restants.
Procédure PowerShell
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $maxFailures = "5" $unlockInterval = "900"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval
Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail
$sddcDomainName
.Répétez cette procédure sur tous les clusters des domaines de charge de travail restants.
Configurer la stratégie de verrouillage de compte pour vCenter Single Sign-On
Définissez le nombre maximal de tentatives de connexion infructueuses et l'intervalle entre deux échecs pour un compte d'utilisateur dans le domaine vsphere.local dans VMware Cloud Foundation. Définissez également la durée qui doit s'écouler avant que le compte ne soit automatiquement déverrouillé.
Paramètre | Valeur par défaut |
---|---|
Nombre maximal de tentatives de connexion infructueuses | 5 |
Intervalle entre deux échecs | 180 secondes |
Délai de déverrouillage | 900 secondes |
Procédure de l'interface utilisateur
- Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
- Dans le menu vSphere Client, sélectionnez Administration.
- Dans la section Single Sign-On, cliquez sur Configuration.
- Sur la page Configuration, cliquez sur l'onglet Comptes locaux.
- Dans la section Stratégie de verrouillage, cliquez sur Modifier.
- Entrez des valeurs pour les paramètres en fonction des exigences de votre organisation et cliquez sur Enregistrer.
Procédure PowerShell
- Démarrez Windows PowerShell.
- Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $failureAttemptInterval = "180" $unlockInterval = "900"
- Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval
Configurer la stratégie de verrouillage de compte d'utilisateur racine pour vCenter Server
Définissez le nombre maximal de tentatives de connexion infructueuses et le temps qui doit s'écouler avant que le compte ne soit automatiquement déverrouillé pour le compte racine local dans les vCenter Server Appliance dans VMware Cloud Foundation.
Paramètre |
Valeur par défaut |
---|---|
Nombre maximal de tentatives de connexion infructueuses |
3 |
Délai de déverrouillage pour racine |
300 secondes |
Délai de déverrouillage |
900 secondes |
Procédure de l'interface utilisateur
Connectez-vous à vCenter Server Appliance en utilisant SSH en tant que racine.
Activez l'accès au shell.
shell
Sauvegardez les conditions requises d'authentification du dispositif à l'aide de la commande suivante.
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back
Modifiez le nombre maximal de tentatives infructueuses à l'aide de la commande suivante.
sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth
Modifiez le délai de déverrouillage du compte racine à l'aide de la commande suivante.
sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth
Modifiez le délai de déverrouillage du compte racine à l'aide de la commande suivante.
sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth
Répétez cette procédure pour chaque domaine de charge de travail vCenter Server.
Procédure PowerShell
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $unlockInterval = "900" $rootUnlockInterval = "300"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval
Répétez cette procédure pour chaque domaine de charge de travail vCenter Server.
Configurer la stratégie de verrouillage de compte d'utilisateur local pour NSX Manager
Définissez le nombre maximal de tentatives de connexion infructueuses et le délai qui doit s'écouler avant qu'un compte ne soit automatiquement déverrouillé pour les utilisateurs locaux des dispositifs NSX Manager dans VMware Cloud Foundation.
Méthode |
Paramètre |
Valeur par défaut |
---|---|---|
API |
max-auth-failures |
5 |
lockout-reset-period |
180 secondes |
|
lockout-period |
900 secondes |
|
CLI |
max-auth-failures |
5 |
lockout-period |
900 secondes |
Procédure de l'interface utilisateur
- Connectez-vous au domaine de gestion de l'instance de vCenter Server à l'adresse https://<management_vcenter_server_fqdn>/ui en utilisant un compte disposant des droits Administrator.
- Dans l'inventaire VM et modèles, développez le domaine de gestion vCenter Server et développez le centre de données du domaine de gestion.
Développez le dossier de VM contenant le cluster NSX Manager.
Sélectionnez le premier nœud du cluster NSX Manager, puis cliquez sur Lancer la console Web.
Connectez-vous au nœud NSX Manager en tant qu'admin.
Pour configurer la stratégie de verrouillage de compte pour la connexion à l'interface utilisateur de NSX Manager ou l'envoi d'une demande d'API à cette dernière en fonction des conditions requises de votre organisation, exécutez les commandes suivantes.
set auth-policy api lockout-period <lockout-period> set auth-policy api lockout-reset-period <lockout-reset-period> set auth-policy api max-auth-failures <auth-failures>
Pour configurer la stratégie de verrouillage de compte pour la connexion à la CLI NSX en fonction des conditions requises de votre organisation, exécutez les commandes suivantes.
set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
Répétez cette procédure sur les nœuds restants du gestionnaire local NSX dans le domaine de gestion.
Répétez cette procédure pour les nœuds du gestionnaire local NSX pour tous les domaines de charge de travail VI.
Répétez cette procédure sur tous les clusters du gestionnaire global NSX.
Procédure PowerShell
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900" $apiMaxFailures = "5" $apiUnlockInterval = "900" $apiFailureInterval = "180"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval
Répétez cette procédure pour tous les clusters du gestionnaire local NSX dans les domaines de charge de travail VI.
- Configurez manuellement les stratégies de verrouillage de compte sur tous les clusters du gestionnaire global NSX dans la console du dispositif de chaque nœud.
Configurer la stratégie de verrouillage de compte d'utilisateur local pour NSX Edge
Définissez le nombre maximal de tentatives de connexion infructueuses et le délai qui doit s'écouler avant qu'un compte ne soit automatiquement déverrouillé pour les utilisateurs locaux des dispositifs NSX Edge dans VMware Cloud Foundation.
Méthode |
Paramètre |
Valeur par défaut |
---|---|---|
CLI |
max-auth-failures |
5 |
lockout-period |
900 secondes |
Procédure de l'interface utilisateur
Si vous configurez un dispositif virtuel NSX Edge, ouvrez la console de ce dernier à l'aide de la console Web dans vSphere Client.
- Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
Dans l'inventaire VM et modèles, accédez au dossier VM contenant le cluster NSX Edge et développez-le.
Sélectionnez le premier nœud du cluster NSX Edge, puis cliquez sur Lancer la console Web.
Si vous configurez un dispositif NSX Edge bare metal, ouvrez la console du dispositif à l'aide d'une interface de gestion hors bande, telle qu'iLO ou iDRAC.
Connectez-vous au nœud NSX Edge en tant que admin.
Pour configurer la stratégie de verrouillage de compte pour la connexion à la CLI NSX en fonction des conditions requises de votre organisation, exécutez ces commandes.
set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
Répétez cette procédure sur les nœuds NSX Edge restants dans le domaine de charge de travail.
Répétez cette procédure sur tous les nœuds NSX Edge dans les domaines de charge de travail restants.
Procédure PowerShell
Vous pouvez utiliser la commande PowerShell pour configurer les stratégies de verrouillage de compte uniquement sur les nœuds NSX Edge dans VMware Cloud Foundation qui sont déployés à l'aide de SDDC Manager. Pour les dispositifs virtuels NSX Edge déployés manuellement et pour les dispositifs NSX Edge bare metal, configurez les stratégies manuellement conformément à la documentation de NSX.
Démarrez Windows PowerShell.
Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900"
Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval
Répétez cette procédure pour tous les domaines de charge de travail restants.
Configurer la stratégie de verrouillage de compte d'utilisateur local pour SDDC Manager
Définissez le nombre maximal de tentatives de connexion infructueuses et le temps qui doit s'écouler avant qu'un compte ne soit automatiquement déverrouillé sur le dispositif SDDC Manager.
Paramètre |
Valeur par défaut |
---|---|
Nombre maximal de tentatives de connexion infructueuses |
3 |
Délai de déverrouillage pour racine |
300 secondes |
Délai de déverrouillage pour tous les comptes locaux |
86 400 secondes |
Procédure de l'interface utilisateur
- Connectez-vous au dispositif SDDC Manager à l'aide de SSH en tant que vcf.
- Passez à l'utilisateur racine.
su -
- Sauvegardez les conditions requises d'authentification du dispositif à l'aide de la commande suivante.
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back
Modifiez le nombre maximal de tentatives infructueuses à l'aide de la commande suivante.
sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth
Modifiez le délai de déverrouillage du compte racine à l'aide de la commande suivante.
sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth
Modifiez le délai de déverrouillage de tous les comptes locaux à l'aide de la commande suivante.
sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth
La configuration est appliquée à tous les comptes d'utilisateur locaux sur le dispositif SDDC Manager.
Procédure PowerShell
- Démarrez Windows PowerShell.
- Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $maxFailures = "3" $unlockInterval = "86400" $rootUnlockInterval = "300"
- Effectuez la configuration en exécutant la commande dans la console PowerShell.
Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval