Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur de mot de passe requise et l'exigence de classes de caractères ou autoriser les phrases secrètes à l'aide de l'option avancée Security.PasswordQualityControl. Vous pouvez également définir le nombre de mots de passe à mémoriser pour chaque utilisateur à l'aide de l'option avancée Security.PasswordHistory. L'option avancée Security.PasswordMaxDays vous permet de définir le nombre maximal de jours entre les changements de mot de passe.
Si vous tentez de vous connecter avec des informations d'identification incorrectes, la stratégie de verrouillage de compte spécifie quand et pendant combien de temps le système verrouille votre compte.
- Mots de passe d' ESXi
-
ESXi applique les exigences de mot de passe pour l'accès.
- Par défaut, lorsque vous créez un mot de passe, vous devez utiliser un mélange de caractères de quatre classes différentes : des lettres minuscules, des lettres majuscules, des chiffres et des caractères spéciaux tels qu'un caractère de soulignement ou un tiret.
- Par défaut, le mot de passe doit contenir au moins 7 caractères et un maximum de 40 caractères.
- Les mots de passe ne doivent pas contenir un mot de dictionnaire ou une partie d'un mot de dictionnaire.
- Les mots de passe ne doivent pas contenir le nom d'utilisateur ou des parties du nom d'utilisateur.
- Exemple de mots de passe ESXi
-
Les candidats de mot de passe suivants illustrent les mots de passe potentiels si l'option est définie comme suit :
retry=3 min=disabled,disabled,disabled,7,7
Avec ce paramètre, un utilisateur est invité jusqu'à trois fois (retry=3) à entrer un nouveau mot de passe si celui-ci n'est pas suffisamment sécurisé ou si le mot de passe n'a pas été entré correctement deux fois. Les mots de passe avec une ou deux classes de caractères et les phrases de mot de passe ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent 7 caractères.
Les candidats de mot de passe suivants répondent aux exigences de mot de passe :
- xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
- xQaT3#A : contient sept caractères provenant de quatre classes de caractères.
Les candidats de mot de passe suivants ne répondent pas aux exigences de mot de passe :
- Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
- xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
- Contrôle de qualité des mots de passe
-
Vous pouvez contrôler la qualité des mots de passe à l'aide de l'option avancée Security.PasswordQualityControl.
Security.PasswordQualityControl consiste en plusieurs paramètres suivant ce modèle :
retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
Paramètres de contrôle de la qualité des mots de passe Description Par défaut retry=N
Nombre de fois qu'un utilisateur doit fournir un nouveau mot de passe si le mot de passe est incorrect ou pas suffisamment fort. retry=3
min=N0,N1,N2,N3,N4
Exigence de classes de caractères et de longueur minimale de phrase secrète. N0
est la longueur minimale des mots de passe d'une classe de caractère spécifique.N1
est la longueur minimale des mots de passe de deux classes de caractères.N2
est la longueur minimale d'une phrase secrète.N3
est la longueur minimale de trois classes de caractères.N4
est la longueur minimale de quatre classes de caractères.
min=disabled,disabled,disabled,7,7
max=N
Longueur maximale autorisée du mot de passe. max=40
passphrase=N
Nombre de mots requis pour une phrase secrète. Pour s'assurer que passphrase
est reconnu, ne définissez pasN2
du paramètremin
sur disabled.passphrase=3
similar=permit|deny
Indique si un mot de passe est autorisé à être similaire à l'ancien mot de passe. Pour utiliser ce paramètre, assurez-vous que vous avez défini l'option Security.PasswordHistory sur une valeur non nulle. similar=deny
- Phrase secrète ESXi
-
Au lieu d'un mot de passe, vous pouvez utiliser une phrase secrète. Les phrases secrètes sont désactivées par défaut. Vous pouvez modifier le paramètre par défaut à l'aide de l'option avancée Security.PasswordQualityControl.
Par exemple, vous pouvez remplacer l'option par la suivante.
retry=3 min=disabled,disabled,16,7,7
Cet exemple autorise les phrases secrètes d'au moins 16 caractères. La phrase secrète doit comporter au moins 3 mots, séparés par des espaces.
- Exemple d'historique de mots de passe et de stratégie de rotation
-
Pour mémoriser un historique de 5 mots de passe, définissez l'option Security.PasswordHistory sur 5.
Pour appliquer une stratégie de rotation des mots de passe de 90 jours, définissez l'option Security.PasswordMaxDays sur 90.
- Stratégie de verrouillage des comptes d' ESXi
-
Les utilisateurs sont verrouillés après un nombre prédéfini de tentatives de connexion infructueuses successives. Par défaut, les utilisateurs sont verrouillés après 5 tentatives infructueuses successives en 3 minutes et un compte verrouillé est déverrouillé automatiquement après 15 minutes par défaut. Vous pouvez modifier le nombre maximal de tentatives infructueuses autorisées et la période pendant laquelle le compte d'utilisateur est verrouillé à l'aide des options avancées Security.AccountLockFailures et Security.AccountUnlockTime.
Pour configurer les mots de passe d'administrateur et le comportement de verrouillage du compte, procédez comme suit.