Une stratégie d'expiration du mot de passe définit la période pendant laquelle le mot de passe d'un compte peut être utilisé avant que le système ne force le changement du mot de passe. Selon le composant de gestion de l'instance de VMware Cloud Foundation, vous définissez cette stratégie au niveau global ou au niveau d'un utilisateur local.

Composant de gestion

Paramètres d'expiration du mot de passe

Portée

ESXi

Intervalle d'expiration du mot de passe (jours)

Utilisateurs locaux

vCenter Single Sign-On

Intervalle d'expiration du mot de passe (jours)

Global

vCenter Server

  • Intervalle d'expiration du mot de passe (jours)

  • Rappel d'expiration du mot de passe (en jours)

  • Adresse e-mail de notification d'expiration

  • Global

  • Utilisateurs locaux

NSX Manager

Intervalle d'expiration du mot de passe (jours)

Utilisateurs locaux

NSX Edge

Intervalle d'expiration du mot de passe (jours)

Utilisateurs locaux

SDDC Manager

  • Intervalle d'expiration du mot de passe (jours)

  • Rappel d'expiration du mot de passe (en jours)

Utilisateurs locaux

Conditions préalables

Reportez-vous à la section Conditions préalables à la configuration de la stratégie de mot de passe.

Configurer la stratégie d'expiration du mot de passe de l'utilisateur local pour ESXi

Définissez l'intervalle de temps avant que le mot de passe d'un utilisateur local sur un hôte ESXi dans VMware Cloud Foundation n'expire et qu'une modification ne soit appliquée.

Paramètre

Valeur par défaut

Security.PasswordMaxDays

99999

Conditions préalables

Si vous prévoyez de réduire la période d'expiration du mot de passe d'un compte local, effectuez une rotation du mot de passe du compte à l'aide de SDDC Manager. Reportez-vous à la section Effectuer une rotation des mots de passe.

La date d'expiration du mot de passe est déterminée en ajoutant la période d'expiration du mot de passe à la date de la dernière modification de celui-ci. Si le délai écoulé depuis la dernière modification du mot de passe est supérieur à la nouvelle période d'expiration, le mot de passe expire immédiatement.

Procédure de l'interface utilisateur

  1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
  2. Dans l'inventaire Hôtes et clusters, accédez au premier cluster vSphere et développez-le.

  3. Sélectionnez le premier hôte ESXi et cliquez sur l'onglet Configurer.

  4. Dans la section Système, cliquez sur Paramètres système avancés.

  5. Sur la page Paramètres système avancés, cliquez sur Modifier.

  6. Dans la zone de texte de filtre de clé, entrez Security.PasswordMaxDays, entrez une valeur pour le paramètre en fonction des exigences de votre organisation, puis cliquez sur OK.

  7. Répétez cette procédure sur les hôtes restants dans le cluster.

  8. Répétez cette procédure sur tous les clusters restants dans le domaine de charge de travail.

  9. Répétez cette procédure pour tous les clusters dans les domaines de charge de travail restants.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"
$cluster = "sfo-m01-cl01"

$maxDays = "99999"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-EsxiPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -maxDays $maxDays

  4. Répétez cette procédure pour tous les clusters restants dans le domaine de charge de travail $sddcDomainName.

  5. Répétez cette procédure pour tous les clusters dans les domaines de charge de travail restants.

Configurer la stratégie d'expiration du mot de passe pour vCenter Single Sign-On

Définissez l'intervalle de temps avant que le mot de passe d'un compte d'utilisateur dans le domaine vsphere.local VMware Cloud Foundation n'expire et qu'une modification ne soit appliquée.

La stratégie d'expiration du mot de passe s'applique uniquement aux comptes d'utilisateur du domaine vsphere.local pour le fournisseur d'identité vCenter Single Sign-On intégré. La stratégie ne s'applique pas aux comptes système locaux et à [email protected].

Note :

SDDC Manager crée des comptes de service dédiés dans le fournisseur d'identité vCenter Single Sign-On intégré. La modification de la stratégie d'expiration du mot de passe affecte également ces comptes de service.

Paramètre

Valeur par défaut

Durée de vie maximale

90

Procédure de l'interface utilisateur

  1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
  2. Dans le menu vSphere Client, sélectionnez Administration.

  3. Dans la section Single Sign-On, cliquez sur Configuration.

  4. Sur la page Configuration, cliquez sur l'onglet Comptes locaux.

  5. Dans la section Stratégie de mot de passe, cliquez sur Modifier

  6. Entrez une valeur pour le paramètre Durée de vie maximale en fonction des exigences de votre organisation et cliquez sur Enregistrer.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxDays = "90"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-SsoPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays

Configurer la stratégie globale d'expiration du mot de passe pour vCenter Server

Définissez globalement l'intervalle de temps avant que les mots de passe des comptes d'utilisateur locaux sur un vCenter Server Appliance dans VMware Cloud Foundation n'expirent et qu'une modification ne soit appliquée.

Paramètre

Valeur par défaut

Nombre maximal de jours avant la modification du mot de passe

90

Nombre minimal de jours avant la modification du mot de passe

0

Nombre de jours d'avertissement avant l'expiration du mot de passe

7

Vous pouvez configurer la stratégie d'expiration de mot de passe globale pour vCenter Server uniquement à l'aide de l'API.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxDays = "90"
$minDays = "0"
$warningDays = "7"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-VcenterPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays -minDays $minDays -warnDays $warningDays
  4. Répétez ces étapes pour les domaines de charge de travail restants.

Configurer la stratégie d'expiration du mot de passe de l'utilisateur racine pour vCenter Server

Définissez l'intervalle de temps avant que le mot de passe du compte racine des vCenter Server Appliance dans VMware Cloud Foundation n'expire et qu'une modification ne soit appliquée.

Paramètre

Valeur par défaut

Validité du mot de passe (jours)

90

E-mail d'avertissement d'expiration

-

Nombre de jours d'avertissement avant l'expiration du mot de passe

7

Conditions préalables

Configurez l'instance de vCenter Server cible avec un compte d'envoi d'e-mail sous Paramètres Général sous l'onglet Configuration de vSphere Client.

Procédure de l'interface utilisateur

  1. Connectez-vous à l'interface de gestion de vCenter Server à l'adresse https://<vcenter_server_fqdn>:5480 en tant que racine.

  2. Dans le volet de navigation, cliquez sur Administration.

  3. Dans la section Paramètres d'expiration du mot de passe, cliquez sur Modifier.

  4. Configurez les paramètres en fonction des exigences de votre organisation, puis cliquez sur Enregistrer.

  5. Connectez-vous à la console de vCenter Server Appliance à l'aide de SSH en tant que racine.

  6. Activez l'accès au shell.

    shell

  7. Modifiez le nombre de jours d'avertissement avant l'expiration du mot de passe à l'aide de la commande suivante.

    chage --warndays <your_value> root

  8. Répétez cette procédure pour tous les domaines de charge de travail restants.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$email = "[email protected]"
$maxDays = "90"
$warningDays = "7"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell. 

    Update-VcenterRootPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -email $email -maxDays $maxDays -warnDays $warningdays
  4. Répétez cette procédure pour tous les domaines de charge de travail restants.

Configurer la stratégie d'expiration du mot de passe d'utilisateur local pour NSX Manager

Configurez la stratégie d'expiration du mot de passe pour les utilisateurs locaux de NSX Manager dans VMware Cloud Foundation. Vous configurez la stratégie par utilisateur pour les comptes NSX intégrés.

Utilisateur

Paramètre

Valeur par défaut

racine

Nombre maximal de jours avant la modification du mot de passe

90

admin

Nombre maximal de jours avant la modification du mot de passe

90

audit

Nombre maximal de jours avant la modification du mot de passe

90

guestuser1

Nombre maximal de jours avant la modification du mot de passe

90

guestuser2

Nombre maximal de jours avant la modification du mot de passe

90

Procédure de l'interface utilisateur

  1. Connectez-vous au domaine de gestion de l'instance de vCenter Server à l'adresse https://<management_vcenter_server_fqdn>/ui en utilisant un compte disposant des droits Administrator.
  2. Dans l'inventaire VM et modèles, développez le domaine de gestion vCenter Server et développez le centre de données du domaine de gestion.

  3. Développez le dossier de la machine virtuelle contenant le cluster NSX Manager pour le domaine de gestion.

  4. Sélectionnez le premier nœud du cluster NSX Manager, puis cliquez sur Lancer la console Web.

  5. Connectez-vous au nœud NSX Manager en tant qu'admin.

  6. Modifiez le nombre maximal de jours avant la modification du mot de passe à l'aide de la commande suivante.

    set user root password-expiration <your_value>

    La modification est répliquée sur les autres nœuds du cluster NSX Manager.

  7. Répétez cette procédure pour les comptes locaux restants.

  8. Répétez cette procédure sur les clusters NSX Local Manager pour tous les domaines de charge de travail VI.

  9. Répétez cette procédure sur tous les clusters du gestionnaire global NSX.

Procédure PowerShell

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxDays = "90"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-NsxtManagerPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays

  4. Répétez cette procédure pour les clusters de gestionnaire local NSX pour tous les domaines de charge de travail VI.

  5. Configurez manuellement les stratégies d'expiration du mot de passe sur tous les clusters de gestionnaire global NSX dans la console du premier nœud de chaque cluster.

Configurer la stratégie d'expiration du mot de passe des utilisateurs locaux pour NSX Edge

Configurez l'expiration du mot de passe pour les utilisateurs locaux de NSX Edge dans VMware Cloud Foundation. Vous configurez ce paramètre par utilisateur pour les comptes NSX intégrés.

Utilisateur

Paramètre

Valeur par défaut

racine

Nombre maximal de jours avant la modification du mot de passe

90

admin

Nombre maximal de jours avant la modification du mot de passe

90

audit

Nombre maximal de jours avant la modification du mot de passe

90

guestuser1

Nombre maximal de jours avant la modification du mot de passe

90

guestuser2

Nombre maximal de jours avant la modification du mot de passe

90

Procédure de l'interface utilisateur

  1. Si vous configurez un dispositif virtuel NSX Edge, ouvrez la console de ce dernier à l'aide de la console Web dans vSphere Client.
    1. Connectez-vous à l'instance de vCenter Server du domaine de charge de travail à l'adresse https://<vcenter_server-fqdn>/ui à l'aide d'un compte disposant des privilèges administrateur.
    2. Dans l'inventaire VM et modèles, accédez au dossier de la VM contenant les nœuds NSX Edge pour le domaine de charge de travail et développez-le.

    3. Sélectionnez le premier nœud du cluster NSX Edge, puis cliquez sur Lancer la console Web.

  2. Si vous configurez un dispositif NSX Edge bare metal, ouvrez la console du dispositif à l'aide d'une interface de gestion hors bande, telle qu'iLO ou iDRAC.

  3. Connectez-vous au nœud NSX Edge en tant que admin.

  4. Modifiez le nombre maximal de jours avant la modification du mot de passe à l'aide de la commande suivante.

    set user root password-expiration <your_value>

  5. Répétez cette procédure pour les comptes locaux restants.

  6. Répétez cette procédure sur les nœuds NSX Edge restants dans le cluster du domaine de charge de travail.

  7. Répétez cette procédure sur tous les clusters NSX Edge dans les domaines de charge de travail restants.

Procédure PowerShell

Vous pouvez utiliser la commande PowerShell pour configurer les stratégies d'expiration de mot de passe uniquement sur les nœuds NSX Edge dans VMware Cloud Foundation qui sont déployés en utilisant SDDC Manager. Pour les dispositifs virtuels NSX Edge déployés manuellement et pour les dispositifs NSX Edge bare metal, configurez les stratégies manuellement conformément à la documentation de NSX.

  1. Démarrez PowerShell.

  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxDays = "90"

  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.

    Update-NsxtEdgePasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays

  4. Répétez cette procédure pour tous les clusters NSX Edge dans les domaines de charge de travail restants.

Configurer la stratégie d'expiration du mot de passe d'utilisateur local pour SDDC Manager

Configurez l'expiration du mot de passe pour SDDC Manager par utilisateur pour les utilisateurs locaux.

Utilisateur

Paramètre

Valeur par défaut

racine

Nombre maximal de jours avant la modification du mot de passe

90

Nombre minimal de jours avant la modification du mot de passe

0

Nombre de jours d'avertissement avant l'expiration du mot de passe

7

vcf

Nombre maximal de jours avant la modification du mot de passe

90

Nombre minimal de jours avant la modification du mot de passe

0

Nombre de jours d'avertissement avant l'expiration du mot de passe

7

sauvegarde

Nombre maximal de jours avant la modification du mot de passe

90

Nombre minimal de jours avant la modification du mot de passe

0

Nombre de jours d'avertissement avant l'expiration du mot de passe

7

Procédure de l'interface utilisateur

  1. Connectez-vous au dispositif SDDC Manager à l'aide de SSH en tant que vcf.
  2. Passez à l'utilisateur racine.
    su -
  3. Modifiez le nombre maximal de jours avant la modification du mot de passe à l'aide de la commande suivante.
    chage --maxdays <your_value> root
  4. Modifiez le nombre minimal de jours avant la modification du mot de passe à l'aide de la commande suivante.
    chage --mindays <your_value> root
  5. Modifiez le nombre de jours d'avertissement avant l'expiration du mot de passe à l'aide de la commande suivante.
    chage --warndays <your_value> root
  6. Répétez cette procédure pour les comptes locaux restants.

Procédure PowerShell

  1. Démarrez PowerShell.
  2. Remplacez les valeurs dans l'exemple de code et exécutez les commandes dans la console PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

# Replace with the name of your management domain
$sddcDomainName = "sfo-m01"

$vmName = "sfo-vcf01"
$guestuser = "root"
$guestPassword = "VMw@re1!”
$localUsers = @("root","vcf","backup")


$maxDays = "90"
$minDays = "0"
$warningDays = "7"
  3. Effectuez la configuration en exécutant la commande dans la console PowerShell.
    Update-LocalUserPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -vmName $vmName -guestUser $guestUser -guestPassword $guestPassword -localUser $localUsers -minDays $minDays -maxDays $maxDays -warnDays $warningDays