Vous pouvez afficher ou personnaliser vos paramètres de stratégie d'authentification via l'API et la CLI.

Il est important de comprendre certains détails sur l'affichage ou la modification des paramètres de stratégie.
  • Cette fonctionnalité n'autorise qu'une seule stratégie de mot de passe.
  • Les modifications apportées à la configuration du mot de passe affectent immédiatement les nouveaux utilisateurs. Une fois que les administrateurs ont mis à jour les configurations de mot de passe d'utilisateur existantes, les utilisateurs actuels doivent suivre les modifications de configuration de mot de passe mises à jour.
  • Les modifications de la configuration de l'API prennent environ 20 secondes.
  • Pour NSX Edge, les mots de passe modifiés ne sont pas synchronisés dans le cluster. Les modifications apportées à la CLI et à l'API s'affichent dans un seul nœud.
  • La prise en charge du nœud de transport de dispositif inclut BCG, un dispositif Edge autonome, ou des dispositifs unifiés (UA). Il n'existe aucune prise en charge des modifications de la configuration du mot de passe du nœud de transport pour l'administrateur local ou l'utilisateur auditeur dans ESX.
  • Privileged Access Management (PAM) prend en charge la définition d'une longueur de mot de passe minimale ou maximale, mais pas les deux.
  • L'utilisation de nombres négatifs pour les entrées de mot de passe définit la plage minimale tandis que les nombres positifs définissent la plage maximale. Pour conserver la valeur par défaut existante, laissez la réponse vide.
  • En cas de modification avant la mise à niveau, la configuration de la stratégie de mot de passe reste la même après la mise à niveau pour les utilisateurs existants. NSX Manager n'applique pas la stratégie de mot de passe par défaut dans ce cas.
  • Stratégies d'authentification
    [API] /api/v1/node/aaa/auth-policy
    [API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
    [API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager inclut la complexité de mot de passe de l'API et de la CLI suivante et la prise en charge de la commande d'authentification. Ces options de stratégie de mot de passe se synchronisent désormais sur les nœuds du cluster de gestion. L'affichage des détails du mot de passe ne nécessite aucune autorisation. La modification des mots de passe existants par défaut nécessite des autorisations d'administrateur.

Pour plus d'informations sur les plages de valeurs par défaut et d'autres détails, reportez-vous à Guide de référence de l'interface de ligne de commandes de NSX et à Guide de NSX API.

Tableau 1. Options personnalisables de la stratégie de mot de passe de la CLI
Option de mot de passe Commande CLI
Afficher ou configurer la configuration de la complexité des mots de passe
get password-complexity
Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module
set password-complexity

Vous pouvez modifier des paramètres spécifiques à l'aide de ces arguments :

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):        
Afficher la stratégie d'authentification
get auth-policy cli 
lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
Configurer la stratégie d'authentification
set auth-policy cli
 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
Tableau 2. Options personnalisables de la stratégie de mot de passe de l'API
Option de mot de passe Commandes API
Afficher la complexité des mots de passe et la stratégie d'autorisation
get /api/v1/node/aaa/auth-policy 
{
 "_retry_prompt": 3,
 "_schema": "AuthenticationPolicyProperties",
 "_self": {
     "href": "/node/aaa/auth-policy",
     "rel": "self"
  },
 "api_failed_auth_lockout_period": 5,
 "api_failed_auth_reset_period": 900,
 "api_max_auth_failures": 900,
 "cli_failed_auth_lockout_period": 900,
 "cli_max_auth_failures": 5,
 "digits": -1,
 "hash_algorithm": "sha512",
 "lower_chars": -1,
 "max_repeats": 0,
 "max_sequence": 0,
 "maximum_password_length": 128,
 "minimum_password_length": 12,
 "minimum_unique_chars": 0,
 "password_remembrance": 0,
 "special_chars": -1,
 "upper_chars": -1
}
Afficher la stratégie d'autorisation VMware Identity Manager (vIDM)
get auth-policy vidm
Wed Jun 08 2022 UTC 12:58:28.357
LB Enabled: False
Enabled: False
Hostname:
Thumbprint:
Client Id:
Node Hostname:
Configurer la stratégie d'autorisation vIDM
set auth-policy vidm
enabled  Enabled property
 hostname  System’s network name
 lb-extern External Load Balancer Flag For vIDM Wiring
Configurer la complexité des mots de passe et la stratégie d'autorisation
  • Période de verrouillage des tentatives d'autorisation d'API ayant échoué (en secondes)
put /api/v1/node/aaa/auth-policy
lockout_period <lockout-period-arg>
  • Période de réinitialisation du verrouillage en cas d'échec d'authentification
lockout_reset_period
  • Nombre d'échecs autorisés avant le verrouillage de l'API
max_auth_failures
  • Nombre de caractères numériques
digits
  • Algorithme de hachage
hash_algorithm
  • Nombre de caractères minuscules
lower_chars
  • Séquence des mêmes caractères
max_repeats
  • Séquence maximale de caractères monotones (1234 ou DCBA)
max_sequence
  • Longueur maximale du mot de passe
maximum_password_length
  • Longueur minimale du mot de passe
minimum_password_length
  • Nombre minimal de caractères uniques
minimum_unique_chars
  • Nombre minimal de mots de passe réutilisés
password_remembrance
  • Si la valeur est de 0, la vérification des mots de passe précédents est désactivée et les utilisateurs peuvent réutiliser n'importe quel mot de passe précédent. Par défaut.
  • Si vous entrez un nombre, l'utilisateur ne peut pas réutiliser ce nombre de mots de passe précédents. Par exemple, si la valeur est définie sur 2, l'utilisateur ne peut pas réutiliser les deux derniers mots de passe.
  • Nombre de caractères spéciaux
special_chars
  • Nombre de caractères majuscules
upper_chars
Réinitialiser la complexité du mot de passe, la stratégie d'authentification ou les deux Pour le nœud, les nœuds de transport et les clusters :
reset-password-complexity 
reset-auth-policies
reset-all