Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur requise et l'exigence de classes de caractères, ou autoriser les phrases secrètes à l'aide du paramètre système avancé Security.PasswordQualityControl. Vous pouvez également définir le nombre de mots de passe à mémoriser pour chaque utilisateur à l'aide du paramètre système avancé Security.PasswordHistory.

Note : Les exigences par défaut pour les mots de passe ESXi dépendent de la version. Vous pouvez vérifier et modifier les restrictions de mot de passe par défaut à l'aide du paramètre système avancé Security.PasswordQualityControl.

Mots de passe d'ESXi

ESXi exige un mot de passe pour un accès à partir de l'interface DCUI (Direct Console User Interface), d'ESXi Shell, de SSH ou de VMware Host Client.

  • Lorsque vous créez un mot de passe, vous devez par défaut inclure un mélange de quatre classes de caractères : lettres minuscules, lettres majuscules, chiffres et caractères spéciaux comme un trait de soulignement ou un tiret.
  • Par défaut, la longueur du mot de passe est d'au moins 7 caractères et inférieure à 40.
  • Les mots de passe ne doivent pas contenir un mot de dictionnaire ou une partie d'un mot de dictionnaire.
  • Les mots de passe ne doivent pas contenir le nom d'utilisateur ou des parties du nom d'utilisateur.
Note : Un caractère en majuscule au début d'un mot de passe ne compte pas dans le nombre de classes de caractères utilisées. Un chiffre à la fin d'un mot de passe ne compte pas dans le nombre de classes de caractères utilisées. Un mot de dictionnaire utilisé dans un mot de passe réduit la force globale du mot de passe.

Exemple de mots de passe d'ESXi

Les candidats de mot de passe suivants illustrent les mots de passe possibles si l'option est définie de la manière suivante.
retry=3 min=disabled,disabled,disabled,7,7
Avec ce paramètre, un utilisateur est invité jusqu'à trois fois (retry=3) à entrer un nouveau mot de passe si celui-ci n'est pas suffisamment sécurisé ou si le mot de passe n'a pas été entré correctement deux fois. Les mots de passe avec une ou deux classes de caractères et des phrases de passe ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent sept caractères. Consultez la page du manuel pam_passwdqc pour plus d'informations sur les autres options, telles que max, passphrase, etc.
Avec ces paramètres, les mots de passe suivants sont autorisés.
  • xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
  • xQaT3#A : contient sept caractères provenant de quatre classes de caractères.
Les candidats de mot de passe suivants ne répondent pas aux exigences.
  • Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
  • xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.

Phrase secrète ESXi

Au lieu d'un mot de passe, vous pouvez utiliser une phrase secrète. Cependant, les phrases secrètes sont désactivées par défaut. Vous pouvez modifier le paramètre par défaut et d'autres paramètres à l'aide du paramètre système avancé Security.PasswordQualityControl à partir de vSphere Client.

Par exemple, vous pouvez remplacer l'option par la suivante.

retry=3 min=disabled,disabled,16,7,7

Cet exemple autorise des phrases secrètes d'au moins 16 caractères et d'au moins trois mots, séparés par des espaces.

Pour les hôtes hérités, la modification du fichier /etc/pamd/passwd est toujours prise en charge, mais vous ne pourrez plus le modifier dans les futures versions. Utilisez plutôt le paramètre système avancé Security.PasswordQualityControl.

Modification des restrictions de mot de passe par défaut

Vous pouvez modifier les restrictions par défaut des mots de passe ou des phrases secrètes en utilisant le paramètre système avancé Security.PasswordQualityControl de votre hôte ESXi. Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour plus d'informations sur la modification des paramètres système avancés d'ESXi.

Vous pouvez modifier la valeur par défaut, par exemple, pour exiger un minimum de 15 caractères et un nombre minimal de quatre mots ( passphrase=4), comme suit :
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
Note : Les combinaisons possibles des options de mot de passe n'ont pas toutes été testées. Effectuez des tests après avoir modifié les paramètres du mot de passe par défaut.

Cet exemple définit l'exigence de complexité du mot de passe pour imposer huit caractères provenant de quatre classes de caractères qui appliquent une importante différence de mot de passe, un historique de cinq mots de passe et une stratégie de rotation de 90 jours :

min=disabled,disabled,disabled,disabled,8 similar=deny

Définissez l'option Security.PasswordHistory sur 5 et l'option Security.PasswordMaxDays sur 90.

Comportement de verrouillage de compte d'ESXi

Le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de 5 échecs de tentative de connexion est autorisé avant le verrouillage du compte. Le compte est déverrouillé au bout de 15 minutes par défaut.

Configuration du comportement de connexion

Vous pouvez configurer le comportement de connexion de votre hôte ESXi à l'aide des paramètres système avancés suivants :
  • Security.AccountLockFailures. Nombre maximal de tentatives de connexion échouées autorisées avant le verrouillage du compte de l'utilisateur. Zéro désactive le verrouillage du compte.
  • Security.AccountUnlockTime. Nombre de secondes pendant lequel le compte d'un utilisateur est verrouillé.
  • Security.PasswordHistory. Nombre de mots de passe à mémoriser pour chaque utilisateur. Zéro désactive l'historique des mots de passe.

Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.