Les stratégies de vCenter Single Sign-On appliquent les règles de sécurité pour les comptes locaux et les jetons en général. Vous pouvez consulter et modifier la stratégie de mot de passe, la stratégie de verrouillage et la stratégie des jetons par défaut de vCenter Single Sign-On.

Modifier la stratégie de mot de passe de vCenter Single Sign-On

La stratégie de mot de passe vCenter Single Sign-On détermine le format de mot de passe et l'expiration de mot de passe. La stratégie de mot de passe s'applique uniquement aux utilisateurs inclus dans le domaine vCenter Single Sign-On (vsphere.local).

Par défaut, les mots de passe de compte d'utilisateur intégrés à vCenter Single Sign-On expirent après 90 jours. vSphere Client vous envoie un rappel lorsque votre mot de passe est sur le point d'expirer.

Reportez-vous à la section Changer le mot de passe de vCenter Single Sign-On.
Note : Le compte d'administrateur ([email protected]) n'est pas verrouillé et son mot de passe n'expire pas. Une bonne pratique de sécurité consiste à auditer les connexions de ce compte et à renouveler le mot de passe régulièrement.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Cliquez sur l'onglet Comptes locaux.
  5. Cliquez sur Modifier pour la ligne Stratégie de mot de passe.
  6. Modifiez la stratégie de mot de passe.
    Option Description
    Description Description de la stratégie de mot de passe.
    Durée de vie maximale Nombre maximal de jours de validité d'un mot de passe au terme duquel l'utilisateur doit le changer. Le nombre maximal de jours que vous pouvez entrer est 999 999 999. Une valeur zéro (0) signifie que le mot de passe n'expire jamais.
    Restreindre la réutilisation Nombre de mots de passe précédents qui ne peuvent pas être réutilisés. Par exemple, si vous tapez 6, l'utilisateur ne peut pas réutiliser l'un des six derniers mots de passe.
    Longueur maximale Nombre maximal de caractères autorisés dans le mot de passe.
    Longueur minimale Le nombre minimum de caractères requis dans le mot de passe. La longueur minimale ne doit pas être inférieure au minimum combiné des exigences de caractères alphabétiques, numériques et spéciaux.
    Exigences de caractères
    Nombre minimal de types de caractères différents requis dans le mot de passe. Vous pouvez spécifier le nombre de chaque type de caractère, comme suit :
    • Spéciaux : & # %
    • Alphabétiques : A b c D
    • Majuscules : A B C
    • Minuscules : a b c
    • Numériques : 1 2 3
    • Adjacents identiques : le nombre doit être supérieur à 0. Par exemple, si vous entrez 1, le mot de passe suivant n'est pas autorisé : p@$$word.

    Le nombre minimal de caractères alphabétiques ne doit pas être inférieur aux caractères combinés de lettres majuscules et minuscules.

    Les caractères non-ASCII sont pris en charge dans les mots de passe. Dans les versions précédentes de vCenter Single Sign-On, les caractères pris en charge sont plus limités.

    Note : La stratégie de mot de passe sélectionne la valeur de longueur maximale uniquement si la longueur minimale est supérieure à 20 caractères. Le comportement de la stratégie de mot de passe n'est pas défini ou peut entraîner l'échec des services lorsque la valeur de longueur minimale est supérieure à 20 caractères et que la longueur minimale est définie sur une valeur quelconque. Pour éviter un problème potentiel, laissez la longueur minimale définie sur la valeur par défaut de 8 caractères, ou sur 20 caractères au maximum.
  7. Cliquez sur Enregistrer.

Modifier la stratégie de verrouillage de vCenter Single Sign-On

Si un utilisateur tente de se connecter avec des informations d'identification incorrectes, une stratégie de verrouillage vCenter Single Sign-On précise quand le compte vCenter Single Sign-On de l'utilisateur est verrouillé. Les administrateurs peuvent modifier la stratégie de verrouillage.

Si un utilisateur se connecte à vsphere.local à plusieurs reprises à l'aide d'un mot de passe incorrect, il est verrouillé. La stratégie de verrouillage permet aux administrateurs de spécifier le nombre maximal de tentatives de connexion infructueuses et de définir l'intervalle de temps entre deux échecs. La règle indique également le délai qui doit s'écouler avant que le compte soit automatiquement déverrouillé.
Note : La stratégie de verrouillage s'applique aux comptes d'utilisateurs et non aux comptes système tels qu'[email protected].

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Cliquez sur l'onglet Comptes locaux.
  5. Cliquez sur Modifier pour la ligne Stratégie de verrouillage.
    Vous devrez éventuellement effectuer un défilement vers le bas pour voir la ligne Stratégie de verrouillage.
  6. Modifiez les paramètres.
    Option Description
    Description Description facultative de la stratégie de verrouillage.
    Nombre maximal de tentatives de connexion infructueuses Nombre maximal de tentatives de connexion infructueuses autorisées avant que le compte soit verrouillé.
    Intervalle de temps entre deux échecs Délai pendant lequel les échecs doivent se produire pour déclencher un verrouillage.
    Délai de déverrouillage Durée pendant laquelle le compte reste verrouillé. Si vous entrez 0, l'administrateur doit déverrouiller le compte de manière explicite.
  7. Cliquez sur Enregistrer.

Modifier la stratégie des jetons de vCenter Single Sign-On

La stratégie des jetons de vCenter Single Sign-On spécifie les propriétés liées aux jetons telles que la tolérance d'horloge et le nombre de renouvellements. Vous pouvez modifier la stratégie des jetons pour garantir que la spécification du jeton répond aux normes de sécurité de votre entreprise.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Cliquez sur l'onglet Comptes locaux.
  5. Cliquez sur Modifier pour la ligne Fiabilité des jetons.
    Vous devrez éventuellement effectuer un défilement vers le bas pour voir la ligne Fiabilité des jetons.
  6. Modifiez les paramètres de configuration de la stratégie des jetons.
    Option Description
    Tolérance de l'horloge Différence de temps, en millisecondes, que vCenter Single Sign-On tolère entre l'horloge d'un client et l'horloge du contrôleur de domaine. Si la différence de temps est supérieure à la valeur spécifiée, vCenter Single Sign-On déclare que le jeton n'est pas valide.
    Nombre maximal de renouvellements de jetons Nombre maximal de fois qu'un jeton peut être renouvelé. Une fois le nombre maximal de tentatives de renouvellement atteint, un nouveau jeton de sécurité est nécessaire
    Nombre maximal de délégations de jetons Des jetons détenteurs de clé peuvent être délégués à des services de l'environnement vSphere. Un service qui utilise un jeton délégué s'exécute de la part du principal qui a fourni le jeton. Une demande de jeton spécifie une identité DelegateTo. La valeur de DelegateTo peut être un jeton de solution ou une référence à un jeton de solution. Cette valeur indique le nombre de fois qu'un jeton détenteur de clé peut être délégué.
    Durée de vie maximale d'un jeton de support Avec les jetons au porteur l'authentification repose sur la simple possession du jeton. Les jetons au porteur sont destinés à être utilisés pour une opération unique, à court terme. Un jeton au porteur ne vérifie ni l'identité de l'utilisateur ni l'entité qui envoie la demande. Cette valeur spécifie la durée de vie d'un jeton au porteur avant que celui-ci doive être réédité.
    Durée de vie maximale d'un jeton de détenteur de clé Avec les jetons détenteurs de clé, l'authentification repose sur les artéfacts de sécurité intégrés au jeton. Les jetons détenteurs de clé peuvent être utilisés pour la délégation. Un client peut obtenir un jeton détenteur de clé et le déléguer à une autre entité. Le jeton contient les demandes pour identifier l'expéditeur et le délégué. Dans l'environnement vSphere, un système vCenter Server obtient des jetons délégués de la part d'un utilisateur et les utilise pour effectuer des opérations.

    Cette valeur détermine la durée de vie d'un jeton détenteur de clé avant que celui-ci soit marqué comme non valide.

  7. Cliquez sur Enregistrer.

Modifier la notification d'expiration du mot de passe pour les utilisateurs Active Directory (authentification Windows intégrée)

La notification d'expiration du mot de passe Active Directory est distincte de l'expiration du mot de passe SSO de vCenter Server. La notification de l'expiration du mot de passe par défaut pour un utilisateur Active Directory est de 30 jours, mais le délai d'expiration de mot de passe réel dépend du système Active Directory. Le vSphere Client contrôle la notification d'expiration. Vous pouvez modifier la notification d'expiration par défaut afin de respecter les normes de sécurité de votre entreprise.

Conditions préalables

Procédure

  1. Connectez-vous au shell de vCenter Server en tant qu'utilisateur disposant des privilèges d'administrateur.
    L'utilisateur par défaut ayant le rôle de super administrateur est l'utilisateur racine.
  2. Modifiez le répertoire et accédez à l'emplacement du fichier vSphere Client webclient.properties.
    cd /etc/vmware/vsphere-ui
  3. Ouvrez le fichier webclient.properties à l'aide d'un éditeur de texte.
  4. Modifiez la variable suivante.
    sso.pending.password.expiration.notification.days = 30
  5. Redémarrez vSphere Client.
    service-control --stop vsphere-ui
    service-control --start vsphere-ui