Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur de mot de passe requise et l'exigence de classes de caractères ou autoriser les phrases secrètes à l'aide de l'option avancée Security.PasswordQualityControl. Vous pouvez également définir le nombre de mots de passe à mémoriser pour chaque utilisateur à l'aide de l'option avancée Security.PasswordHistory. L'option avancée Security.PasswordMaxDays vous permet de définir le nombre maximal de jours entre les changements de mot de passe.

Note : Effectuez toujours des tests supplémentaires après avoir modifié les paramètres du mot de passe par défaut.

Si vous tentez de vous connecter avec des informations d'identification incorrectes, la stratégie de verrouillage de compte spécifie quand et pendant combien de temps le système verrouille votre compte.

Mots de passe d' ESXi

ESXi applique les exigences de mot de passe pour l'accès.

  • Par défaut, lorsque vous créez un mot de passe, vous devez utiliser un mélange de caractères de quatre classes différentes : des lettres minuscules, des lettres majuscules, des chiffres et des caractères spéciaux tels qu'un caractère de soulignement ou un tiret.
  • Par défaut, le mot de passe doit contenir au moins 7 caractères et un maximum de 40 caractères.
  • Les mots de passe ne doivent pas contenir un mot de dictionnaire ou une partie d'un mot de dictionnaire.
  • Les mots de passe ne doivent pas contenir le nom d'utilisateur ou des parties du nom d'utilisateur.
Note :

Un caractère en majuscule au début d'un mot de passe ne compte pas dans le nombre de classes de caractères utilisées. Un chiffre à la fin d'un mot de passe ne compte pas dans le nombre de classes de caractères utilisées.

Exemple de mots de passe ESXi

Les candidats de mot de passe suivants illustrent les mots de passe potentiels si l'option est définie comme suit :

retry=3 min=disabled,disabled,disabled,7,7

Avec ce paramètre, un utilisateur est invité jusqu'à trois fois (retry=3) à entrer un nouveau mot de passe si celui-ci n'est pas suffisamment sécurisé ou si le mot de passe n'a pas été entré correctement deux fois. Les mots de passe avec une ou deux classes de caractères et les phrases de mot de passe ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent 7 caractères.

Les candidats de mot de passe suivants répondent aux exigences de mot de passe :

  • xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
  • xQaT3#A : contient sept caractères provenant de quatre classes de caractères.

Les candidats de mot de passe suivants ne répondent pas aux exigences de mot de passe :

  • Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
  • xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
Contrôle de qualité des mots de passe

Vous pouvez contrôler la qualité des mots de passe à l'aide de l'option avancée Security.PasswordQualityControl.

Security.PasswordQualityControl consiste en plusieurs paramètres suivant ce modèle :

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
Paramètres de contrôle de la qualité des mots de passe Description Par défaut
retry=N Nombre de fois qu'un utilisateur doit fournir un nouveau mot de passe si le mot de passe est incorrect ou pas suffisamment fort. retry=3
min=N0,N1,N2,N3,N4 Exigence de classes de caractères et de longueur minimale de phrase secrète.
  • N0 est la longueur minimale des mots de passe d'une classe de caractère spécifique.
  • N1 est la longueur minimale des mots de passe de deux classes de caractères.
  • N2 est la longueur minimale d'une phrase secrète.
  • N3 est la longueur minimale de trois classes de caractères.
  • N4 est la longueur minimale de quatre classes de caractères.
Vous pouvez utiliser disabled pour interdire un mot de passe avec le nombre spécifié de classes de caractères.		 min=disabled,disabled,disabled,7,7
max=N Longueur maximale autorisée du mot de passe. max=40
passphrase=N Nombre de mots requis pour une phrase secrète. Pour s'assurer que passphrase est reconnu, ne définissez pas N2 du paramètre min sur disabled. passphrase=3
similar=permit|deny Indique si un mot de passe est autorisé à être similaire à l'ancien mot de passe. Pour utiliser ce paramètre, assurez-vous que vous avez défini l'option Security.PasswordHistory sur une valeur non nulle. similar=deny
Phrase secrète ESXi

Au lieu d'un mot de passe, vous pouvez utiliser une phrase secrète. Les phrases secrètes sont désactivées par défaut. Vous pouvez modifier le paramètre par défaut à l'aide de l'option avancée Security.PasswordQualityControl.

Par exemple, vous pouvez remplacer l'option par la suivante.

retry=3 min=disabled,disabled,16,7,7

Cet exemple autorise les phrases secrètes d'au moins 16 caractères. La phrase secrète doit comporter au moins 3 mots, séparés par des espaces.

Exemple d'historique de mots de passe et de stratégie de rotation

Pour mémoriser un historique de 5 mots de passe, définissez l'option Security.PasswordHistory sur 5.

Pour appliquer une stratégie de rotation des mots de passe de 90 jours, définissez l'option Security.PasswordMaxDays sur 90.

Stratégie de verrouillage des comptes d' ESXi

Les utilisateurs sont verrouillés après un nombre prédéfini de tentatives de connexion infructueuses successives. Par défaut, les utilisateurs sont verrouillés après 5 tentatives infructueuses successives en 3 minutes et un compte verrouillé est déverrouillé automatiquement après 15 minutes par défaut. Vous pouvez modifier le nombre maximal de tentatives infructueuses autorisées et la période pendant laquelle le compte d'utilisateur est verrouillé à l'aide des options avancées Security.AccountLockFailures et Security.AccountUnlockTime.

Pour configurer les mots de passe d'administrateur et le comportement de verrouillage du compte, procédez comme suit.

Procédure

  1. Cliquez sur Gérer dans l'inventaire VMware Host Client et cliquez sur Paramètres avancés.

    Option

    Action

    Configurez la longueur requise du mot de passe, la classe de caractères requise ou autorisez les phrases secrètes.

    1. Entrez Security.PasswordQualityControl dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.

    2. Cliquez avec le bouton droit de la souris sur Security.PasswordQualityControl et sélectionnez Modifier l'option dans le menu déroulant.

    Configurer le nombre de mots de passe à mémoriser pour chaque utilisateur

    1. Entrez Security.PasswordHistory dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.

    2. Cliquez avec le bouton droit de la souris sur Security.PasswordHistory et sélectionnez Modifier l'option dans le menu déroulant.

      Note :

      Zéro désactive l'historique des mots de passe.

    Configurer le nombre maximal de jours entre les changements de mot de passe

    1. Entrez Security.PasswordMaxDays dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.

    2. Cliquez avec le bouton droit de la souris sur Security.PasswordMaxDays et sélectionnez Modifier l'option dans le menu déroulant.

    Configurez le nombre de tentatives de connexion infructueuses autorisées avant le verrouillage.

    1. Entrez Security.AccountLockFailures dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.

    2. Cliquez avec le bouton droit de la souris sur Security.AccountLockFailures et sélectionnez Modifier l'option dans le menu déroulant.

      Note :

      Zéro (0) désactive le verrouillage du compte.

    Configurer la période pendant laquelle le compte de l'utilisateur est verrouillé

    1. Entrez Security.AccountUnlockTime dans la zone de texte Rechercher, puis cliquez sur l'icône Rechercher.

    2. Cliquez avec le bouton droit de la souris sur Security.AccountUnlockTime et sélectionnez Modifier l'option dans le menu déroulant.

    La boîte de dialogue Modifier l'option s'ouvre.

  2. Dans la zone de texte Nouvelle valeur, entrez le nouveau paramètre.
  3. Cliquez sur Enregistrer.
  4. (Facultatif) Pour réinitialiser le paramètre de clé à la valeur par défaut, cliquez avec le bouton droit sur la clé appropriée dans la liste, puis sélectionnez l'option Réinitialiser sur les paramètres par défaut.