Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur requise et l'exigence de classes de caractères ou autoriser les phrases secrètes à l'aide de l'option avancée Security.PasswordQualityControl. Vous pouvez également définir le nombre de mots de passe à mémoriser pour chaque utilisateur à l'aide de l'option avancée Security.PasswordHistory.
Mots de passe d'ESXi
ESXi exige un mot de passe pour un accès à partir de l'interface DCUI (Direct Console User Interface), d'ESXi Shell, de SSH ou de VMware Host Client.
- Lorsque vous créez un mot de passe, vous devez par défaut inclure un mélange de quatre classes de caractères : lettres minuscules, lettres majuscules, chiffres et caractères spéciaux comme un trait de soulignement ou un tiret.
- Par défaut, la longueur du mot de passe est d'au moins 7 caractères et inférieure à 40.
- Les mots de passe ne doivent pas contenir un mot de dictionnaire ou une partie d'un mot de dictionnaire.
- Les mots de passe ne doivent pas contenir le nom d’utilisateur ou des parties du nom d’utilisateur.
Exemple de mots de passe d'ESXi
retry=3 min=disabled,disabled,disabled,7,7Avec ce paramètre, un utilisateur est invité jusqu'à trois fois (retry=3) à entrer un nouveau mot de passe si celui-ci n'est pas suffisamment sécurisé ou si le mot de passe n'a pas été entré correctement deux fois. Les mots de passe avec une ou deux classes de caractères et des phrases de passe ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent sept caractères. Consultez la page du manuel pam_passwdqc pour plus d'informations sur les autres options, telles que max, passphrase, etc.
- xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
- xQaT3#A : contient sept caractères provenant de quatre classes de caractères.
- Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
- xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
Phrase secrète ESXi
Vous pouvez également utiliser une phrase secrète à la place d'un mot de passe. Néanmoins, les phrases secrètes sont désactivées par défaut. Vous pouvez modifier la valeur par défaut et d'autres paramètres à l'aide de l'option avancée Security.PasswordQualityControl depuis vSphere Client.
Par exemple, vous pouvez remplacer l'option par la suivante.
retry=3 min=disabled,disabled,16,7,7
Cet exemple autorise des phrases secrètes d'au moins 16 caractères et d'au moins trois mots, séparés par des espaces.
Pour les hôtes hérités, la modification du fichier /etc/pamd/passwd est toujours prise en charge, mais vous ne pourrez plus le modifier dans les futures versions. Utilisez plutôt l'option avancée Security.PasswordQualityControl.
Modification des restrictions de mot de passe par défaut
Vous pouvez modifier les restrictions par défaut des mots de passe ou des phrases secrètes en utilisant l'option avancée Security.PasswordQualityControl de votre hôte ESXi. Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
Cet exemple définit l'exigence de complexité du mot de passe pour imposer huit caractères provenant de quatre classes de caractères qui appliquent une importante différence de mot de passe, un historique de cinq mots de passe et une stratégie de rotation de 90 jours :
min=disabled,disabled,disabled,disabled,8 similar=deny
Définissez l'option Security.PasswordHistory sur 5 et l'option Security.PasswordMaxDays sur 90.
Comportement de verrouillage de compte d'ESXi
Le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de 5 échecs de tentative de connexion est autorisé avant le verrouillage du compte. Le compte est déverrouillé au bout de 15 minutes par défaut.
Configuration du comportement de connexion
- Security.AccountLockFailures. Nombre maximal de tentatives de connexion échouées autorisées avant le verrouillage du compte de l'utilisateur. Zéro désactive le verrouillage du compte.
- Security.AccountUnlockTime. Nombre de secondes pendant lequel le compte d'un utilisateur est verrouillé.
- Security.PasswordHistory. Nombre de mots de passe à mémoriser pour chaque utilisateur. Zéro désactive l'historique des mots de passe.
Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.