Vous pouvez afficher ou personnaliser vos paramètres de stratégie d'authentification via l'API et la CLI.
Il est important de comprendre certains détails sur l'affichage ou la modification des paramètres de stratégie.
- Cette fonctionnalité n'autorise qu'une seule stratégie de mot de passe.
- Les modifications apportées à la configuration du mot de passe affectent immédiatement les nouveaux utilisateurs. Une fois que les administrateurs ont mis à jour les configurations de mot de passe d'utilisateur existantes, les utilisateurs actuels doivent suivre les modifications de configuration de mot de passe mises à jour.
- Les modifications de la configuration de l'API prennent environ 20 secondes.
- Pour NSX Edge, les mots de passe modifiés ne sont pas synchronisés dans le cluster. Les modifications apportées à la CLI et à l'API s'affichent dans un seul nœud.
- La prise en charge du nœud de transport de dispositif inclut BCG, un dispositif Edge autonome, ou des dispositifs unifiés (UA). Il n'existe aucune prise en charge des modifications de la configuration du mot de passe du nœud de transport pour l'administrateur local ou l'utilisateur auditeur dans ESX.
- Privileged Access Management (PAM) prend en charge la définition d'une longueur de mot de passe minimale ou maximale, mais pas les deux.
- L'utilisation de nombres négatifs pour les entrées de mot de passe définit la plage minimale tandis que les nombres positifs définissent la plage maximale. Pour conserver la valeur par défaut existante, laissez la réponse vide.
- En cas de modification avant la mise à niveau, la configuration de la stratégie de mot de passe reste la même après la mise à niveau pour les utilisateurs existants. NSX Manager n'applique pas la stratégie de mot de passe par défaut dans ce cas.
- Stratégies d'authentification
[API] /api/v1/node/aaa/auth-policy
[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy
NSX Manager inclut la complexité de mot de passe de l'API et de la CLI suivante et la prise en charge de la commande d'authentification. Ces options de stratégie de mot de passe se synchronisent désormais sur les nœuds du cluster de gestion. L'affichage des détails du mot de passe ne nécessite aucune autorisation. La modification des mots de passe existants par défaut nécessite des autorisations d'administrateur.
Pour plus d'informations sur les plages de valeurs par défaut et d'autres détails, reportez-vous à Guide de référence de l'interface de ligne de commandes de NSX et à Guide de NSX API.
| Option de mot de passe | Commande CLI | |
|---|---|---|
| Afficher ou configurer la configuration de la complexité des mots de passe | get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity Vous pouvez modifier des paramètres spécifiques à l'aide de ces arguments : Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change): |
|
| Afficher la stratégie d'authentification | get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
|
| Configurer la stratégie d'authentification | set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
| Option de mot de passe | Commandes API |
|---|---|
| Afficher la complexité des mots de passe et la stratégie d'autorisation | get /api/v1/node/aaa/auth-policy {
"_retry_prompt": 3,
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 5,
"api_failed_auth_reset_period": 900,
"api_max_auth_failures": 900,
"cli_failed_auth_lockout_period": 900,
"cli_max_auth_failures": 5,
"digits": -1,
"hash_algorithm": "sha512",
"lower_chars": -1,
"max_repeats": 0,
"max_sequence": 0,
"maximum_password_length": 128,
"minimum_password_length": 12,
"minimum_unique_chars": 0,
"password_remembrance": 0,
"special_chars": -1,
"upper_chars": -1
} |
| Afficher la stratégie d'autorisation VMware Identity Manager (vIDM) | get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname: |
| Configurer la stratégie d'autorisation vIDM | set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring |
Configurer la complexité des mots de passe et la stratégie d'autorisation
|
put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg> |
|
lockout_reset_period |
|
max_auth_failures |
|
digits |
|
hash_algorithm |
|
lower_chars |
|
max_repeats |
|
max_sequence |
|
maximum_password_length |
|
minimum_password_length |
|
minimum_unique_chars |
|
password_remembrance
|
|
special_chars |
|
upper_chars |
| Réinitialiser la complexité du mot de passe, la stratégie d'authentification ou les deux | Pour le nœud, les nœuds de transport et les clusters :reset-password-complexity reset-auth-policies reset-all |
