Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur requise et l'exigence de classes de caractères ou autoriser les phrases secrètes à l'aide de l'option avancée Security.PasswordQualityControl.
Mots de passe d'ESXi
ESXi exige un mot de passe pour un accès à partir de l'interface DCUI (Direct Console User Interface), d'ESXi Shell, de SSH ou de VMware Host Client.
- Lorsque vous créez un mot de passe, vous devez inclure par défaut un mélange de quatre classes de caractères : lettres en minuscule, lettres en majuscule, chiffres et caractères spéciaux comme un trait de soulignement ou un tiret.
- Par défaut, la longueur du mot de passe est supérieure à 7 et inférieure à 40.
- Les mots de passe ne doivent pas contenir un mot du dictionnaire ou une partie d'un mot du dictionnaire.
Exemple de mots de passe d'ESXi
retry=3 min=disabled,disabled,disabled,7,7Avec ce paramètre, les mots de passe avec une ou deux classes de caractères et les phrases secrètes ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent sept caractères. Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
- xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
- xQaT3#A : contient sept caractères provenant de quatre classes de caractères.
- Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
- xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
Phrase secrète ESXi
Vous pouvez également utiliser une phrase secrète à la place d'un mot de passe. Néanmoins, les phrases secrètes sont désactivées par défaut. Vous pouvez modifier cette valeur par défaut ou d'autres paramètres à l'aide de Security.PasswordQualityControl l'option avancée depuis vSphere Client.
Par exemple, vous pouvez remplacer l'option par la suivante.
retry=3 min=disabled,disabled,16,7,7
Cet exemple autorise des phrases secrètes d'au moins 16 caractères et d'au moins trois mots, séparés par des espaces.
Pour les hôtes hérités, la modification du fichier /etc/pamd/passwd est toujours autorisée, mais vous ne pourrez plus le modifier dans les futures versions. Utilisez plutôt l'option avancée Security.PasswordQualityControl.
Modification des restrictions de mot de passe par défaut
Vous pouvez modifier les restrictions par défaut des mots de passe ou des phrases secrètes en utilisant l'option avancée Security.PasswordQualityControl de votre hôte ESXi. Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
Comportement de verrouillage de compte d'ESXi
À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de 5 échecs de tentative de connexion est autorisé avant le verrouillage du compte. Le compte est déverrouillé au bout de 15 minutes par défaut.
Configuration du comportement de connexion
- Security.AccountLockFailures. Nombre maximal de tentatives de connexion échouées autorisées avant le verrouillage du compte de l'utilisateur. La valeur zéro désactive le verrouillage du compte.
- Security.AccountUnlockTime. Nombre de secondes pendant lequel le compte d'un utilisateur est verrouillé.
Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.
