Une stratégie de verrouillage de compte définit le comportement du système lorsque des informations d'identification incorrectes sont utilisées pour l'authentification sur le système. Les paramètres sont différents selon le type de compte et le composant de l'instance de VMware Cloud Foundation.

Composant de gestion Paramètres de verrouillage de compte Portée
ESXi
  • Nombre maximal de tentatives infructueuses
  • Durée de verrouillage du compte (secondes)
 Utilisateur local
vCenter Single Sign-On
  • Nombre maximal de tentatives infructueuses
  • Intervalle entre les tentatives infructueuses (en secondes)
  • Durée de verrouillage du compte (secondes)
 Domaine vCenter Single Sign-On
vCenter Server
  • Nombre maximal de tentatives infructueuses
  • Durée de verrouillage du compte (secondes)
  • Durée de verrouillage du compte racine (secondes)
 Utilisateur local
NSX Manager

  • Nombre maximal de tentatives infructueuses

  • Durée de verrouillage du compte (secondes)

  • Durée de réinitialisation du compte (en secondes)

 Utilisateur local
NSX Edge

  • Nombre maximal de tentatives infructueuses

  • Durée de verrouillage du compte (secondes)

 Utilisateur local
SDDC Manager

  • Nombre maximal de tentatives infructueuses

  • Durée de verrouillage du compte (secondes)

  • Durée de verrouillage du compte racine (secondes)

 Utilisateur local

Conditions préalables

Reportez-vous à la section Conditions préalables à la configuration de la stratégie de mot de passe.

Configurer la stratégie de verrouillage de compte local pour ESXi

Définissez le nombre maximal de tentatives de connexion infructueuses et le délai qui doit s'écouler avant qu'un compte local sur un hôte ESXi dans VMware Cloud Foundation soit automatiquement déverrouillé.

Paramètre

Valeur par défaut

Security.AccountLockFailures

5

Security.AccountUnlockTime

900

Procédure de l'interface utilisateur

  1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.

  2. Dans l'inventaire Hôtes et clusters, accédez au premier cluster vSphere et développez-le.

  3. Sélectionnez le premier hôte ESXi et cliquez sur l'onglet Configurer.

  4. Dans la section Système, cliquez sur Paramètres système avancés.

  5. Sur la page Paramètres système avancés, cliquez sur Modifier.

  6. Dans la zone de texte de filtre de clé, entrez Security.AccountLockFailures et entrez une valeur en fonction des exigences de votre organisation.

  7. Dans la zone de texte de filtre de clé, entrez Security.AccountUnlockTime, entrez une valeur en fonction des exigences de votre organisation, puis cliquez sur OK.

  8. Répétez cette procédure sur les hôtes restants dans le cluster.

  9. Répétez cette procédure sur les clusters restants dans le domaine de charge de travail.

  10. Répétez cette procédure sur tous les clusters des domaines de charge de travail restants.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"
$cluster = "sfo-m01-cl01"

$maxFailures = "5"
$unlockInterval = "900"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval

  4. Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail $sddcDomainName.

  5. Répétez cette procédure sur tous les clusters des domaines de charge de travail restants.

Configurer la stratégie de verrouillage de compte pour vCenter Single Sign-On

Définissez le nombre maximal de tentatives de connexion infructueuses et l'intervalle entre deux échecs pour un compte d'utilisateur dans le domaine vsphere.local dans VMware Cloud Foundation. Définissez également la durée qui doit s'écouler avant que le compte ne soit automatiquement déverrouillé.

La stratégie de verrouillage s'applique uniquement aux comptes d'utilisateur dans le fournisseur d'identité vCenter Single Sign-On intégré vsphere.local. La stratégie ne s'applique pas aux comptes système locaux et à [email protected].
Paramètre Valeur par défaut
Nombre maximal de tentatives de connexion infructueuses 5
Intervalle entre deux échecs 180 secondes
Délai de déverrouillage 900 secondes

Procédure de l'interface utilisateur

  1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
  2. Dans le menu vSphere Client, sélectionnez Administration.
  3. Dans la section Single Sign-On, cliquez sur Configuration.
  4. Sur la page Configuration, cliquez sur l'onglet Comptes locaux.
  5. Dans la section Stratégie de verrouillage, cliquez sur Modifier.
  6. Entrez des valeurs pour les paramètres en fonction des exigences de votre organisation et cliquez sur Enregistrer.

Procédure PowerShell

  1. Démarrez PowerShell.
  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxFailures = "5"
$failureAttemptInterval = "180"
$unlockInterval = "900"
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.
    Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval

Configurer la stratégie de verrouillage de compte d'utilisateur racine pour vCenter Server

Définissez le nombre maximal de tentatives de connexion infructueuses et le temps qui doit s'écouler avant que le compte ne soit automatiquement déverrouillé pour le compte racine local dans les vCenter Server Appliance dans VMware Cloud Foundation.

Paramètre

Valeur par défaut

Nombre maximal de tentatives de connexion infructueuses

3

Délai de déverrouillage pour racine

300 secondes

Délai de déverrouillage

900 secondes

Procédure de l'interface utilisateur

  1. Connectez-vous à vCenter Server Appliance en utilisant SSH en tant que racine.

  2. Activez l'accès au shell.

    shell

  3. Sauvegardez les conditions requises d'authentification du dispositif à l'aide de la commande suivante.

    cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back

  4. Vérifiez que tous les paramètres de configuration de la stratégie de verrouillage de compte pour l'utilisateur racine sont ajoutés dans le fichier /etc/security/faillock.conf.

    Si certaines propriétés sont manquantes dans le fichier /etc/security/faillock.conf, ajoutez-les manuellement.

     dir = /var/log/faillock
audit
silent
deny = 3
unlock_time = 1200
even_deny_root
root_unlock_time = 300
fail_interval = 900
  5. Pour configurer la stratégie de verrouillage du compte d'utilisateur racine, dans le fichier /etc/security/faillock.conf, définissez les valeurs sur les propriétés suivantes en fonction des exigences de votre organisation et enregistrez le fichier.
    Paramètre Propriété dans /etc/security/faillock.conf
    Nombre maximal de tentatives infructueuses refuser
    Délai de déverrouillage du compte d'utilisateur racine root_unlock_time
    Délai de déverrouillage pour tous les comptes locaux unlock_time

  6. Répétez cette procédure pour chaque domaine de charge de travail vCenter Server.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxFailures = "5"
$rootUnlockInterval = "300"
$unlockInterval = "900"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval

  4. Répétez cette procédure pour chaque domaine de charge de travail vCenter Server.

Configurer la stratégie de verrouillage de compte d'utilisateur local pour NSX Manager

Définissez le nombre maximal de tentatives de connexion infructueuses et le délai qui doit s'écouler avant qu'un compte ne soit automatiquement déverrouillé pour les utilisateurs locaux des dispositifs NSX Manager dans VMware Cloud Foundation.

Méthode

Paramètre

Valeur par défaut

API

max-auth-failures

5

lockout-reset-period

180 secondes

lockout-period

900 secondes

CLI

max-auth-failures

5

lockout-period

900 secondes

Procédure de l'interface utilisateur

  1. Connectez-vous au domaine de gestion de l'instance de vCenter Server à l'adresse https://<management_vcenter_server_fqdn>/ui en utilisant un compte disposant des droits Administrator.
  2. Dans l'inventaire VM et modèles, développez le domaine de gestion vCenter Server et développez le centre de données du domaine de gestion.

  3. Développez le dossier de VM contenant le cluster NSX Manager.

  4. Sélectionnez le premier nœud du cluster NSX Manager, puis cliquez sur Lancer la console Web.

  5. Connectez-vous au nœud NSX Manager en tant qu'admin.

  6. Pour configurer la stratégie de verrouillage de compte pour la connexion à l'interface utilisateur de NSX Manager ou l'envoi d'une demande d'API à cette dernière en fonction des conditions requises de votre organisation, exécutez les commandes suivantes.

    set auth-policy api lockout-period <lockout-period>
set auth-policy api lockout-reset-period <lockout-reset-period>
set auth-policy api max-auth-failures <auth-failures>

  7. Pour configurer la stratégie de verrouillage de compte pour la connexion à la CLI NSX en fonction des conditions requises de votre organisation, exécutez les commandes suivantes.

    set auth-policy cli lockout-period <lockout-period>
set auth-policy cli max-auth-failures <auth-failures>

  8. Répétez cette procédure sur les nœuds restants du gestionnaire local NSX dans le domaine de gestion.

  9. Répétez cette procédure pour les nœuds du gestionnaire local NSX pour tous les domaines de charge de travail VI.

  10. Répétez cette procédure sur tous les clusters du gestionnaire global NSX.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$cliMaxFailures = "5"
$cliUnlockInterval = "900"
$apiMaxFailures = "5"
$apiUnlockInterval = "900"
$apiFailureInterval = "180"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval

  4. Répétez cette procédure pour tous les clusters du gestionnaire local NSX dans les domaines de charge de travail VI.

  5. Configurez manuellement les stratégies de verrouillage de compte sur tous les clusters du gestionnaire global NSX dans la console du dispositif de chaque nœud.

Configurer la stratégie de verrouillage de compte d'utilisateur local pour NSX Edge

Définissez le nombre maximal de tentatives de connexion infructueuses et le délai qui doit s'écouler avant qu'un compte ne soit automatiquement déverrouillé pour les utilisateurs locaux des dispositifs NSX Edge dans VMware Cloud Foundation.

Méthode

Paramètre

Valeur par défaut

CLI

max-auth-failures

5

lockout-period

900 secondes

Procédure de l'interface utilisateur

  1. Si vous configurez un dispositif virtuel NSX Edge, ouvrez la console de ce dernier à l'aide de la console Web dans vSphere Client.

    1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.

    2. Dans l'inventaire VM et modèles, accédez au dossier VM contenant le cluster NSX Edge et développez-le.

    3. Sélectionnez le premier nœud du cluster NSX Edge, puis cliquez sur Lancer la console Web.

  2. Si vous configurez un dispositif NSX Edge bare metal, ouvrez la console du dispositif à l'aide d'une interface de gestion hors bande, telle qu'iLO ou iDRAC.

  3. Connectez-vous au nœud NSX Edge en tant que admin.

  4. Pour configurer la stratégie de verrouillage de compte pour la connexion à la CLI NSX en fonction des conditions requises de votre organisation, exécutez ces commandes.

    set auth-policy cli lockout-period <lockout-period>
set auth-policy cli max-auth-failures <auth-failures>

  5. Répétez cette procédure sur les nœuds NSX Edge restants dans le domaine de charge de travail.

  6. Répétez cette procédure sur tous les nœuds NSX Edge dans les domaines de charge de travail restants.

Procédure PowerShell

Vous pouvez utiliser la commande PowerShell pour configurer les stratégies de verrouillage de compte uniquement sur les nœuds NSX Edge dans VMware Cloud Foundation qui sont déployés à l'aide de SDDC Manager. Pour les dispositifs virtuels NSX Edge déployés manuellement et pour les dispositifs NSX Edge bare metal, configurez les stratégies manuellement conformément à la documentation de NSX.

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$cliMaxFailures = "5"
$cliUnlockInterval = "900"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval

  4. Répétez cette procédure pour tous les domaines de charge de travail restants.

Configurer la stratégie de verrouillage de compte d'utilisateur local pour SDDC Manager

Définissez le nombre maximal de tentatives de connexion infructueuses et le temps qui doit s'écouler avant qu'un compte ne soit automatiquement déverrouillé sur le dispositif SDDC Manager.

Paramètre

Valeur par défaut

Nombre maximal de tentatives de connexion infructueuses

3

Délai de déverrouillage pour racine

300 secondes

Délai de déverrouillage pour tous les comptes locaux

86 400 secondes

Procédure de l'interface utilisateur

  1. Connectez-vous au dispositif SDDC Manager à l'aide de SSH en tant que vcf.
  2. Passez à l'utilisateur racine.
    su -
  3. Sauvegardez les conditions requises d'authentification du dispositif à l'aide de la commande suivante. 
    cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back

  4. Vérifiez que toutes les propriétés de configuration de la stratégie de verrouillage de compte pour les utilisateurs de SDDC Manager sont ajoutées au fichier /etc/security/faillock.conf.

    Si certaines propriétés sont manquantes dans le fichier /etc/security/faillock.conf, ajoutez-les manuellement.

    # Configuration for locking the user after multiple failed
# authentication attempts.
#
# The directory where the user files with the failure records are kept.
# The default is /var/run/faillock.
.
.
.
.
# admin_group = <admin_group_name>
dir = /run/faillock
deny = 3
unlock_time = 86400
even_deny_root
root_unlock_time = 300
dir = /var/log/faillock
  5. Pour configurer la stratégie de verrouillage du compte d'utilisateur racine, dans le fichier /etc/security/faillock.conf, définissez les valeurs sur les propriétés suivantes en fonction des exigences de votre organisation et enregistrez le fichier.
    Paramètre Propriété dans /etc/security/faillock.conf
    Nombre maximal de tentatives infructueuses refuser
    Délai de déverrouillage du compte d'utilisateur racine root_unlock_time
    Délai de déverrouillage pour tous les comptes locaux unlock_time

La configuration est appliquée à tous les comptes d'utilisateur locaux sur le dispositif SDDC Manager.

Procédure PowerShell

  1. Démarrez PowerShell.
  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

# Replace with the name of your management domain
$sddcDomainName = "sfo-m01"

$rootPass = "VMw@re1!"
$maxFailures = "3"
$unlockInterval = "86400"
$rootUnlockInterval = "300"
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.
    Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval