Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur requise et l'exigence de classes de caractères, ou autoriser les phrases secrètes à l'aide du paramètre système avancé Security.PasswordQualityControl. Vous pouvez également définir le nombre de mots de passe à mémoriser pour chaque utilisateur à l'aide du paramètre système avancé Security.PasswordHistory.
Mots de passe d'ESXi
ESXi exige un mot de passe pour un accès à partir de l'interface DCUI (Direct Console User Interface), d'ESXi Shell, de SSH ou de VMware Host Client.
- Lorsque vous créez un mot de passe, vous devez par défaut inclure un mélange de quatre classes de caractères : lettres minuscules, lettres majuscules, chiffres et caractères spéciaux comme un trait de soulignement ou un tiret.
- Par défaut, la longueur du mot de passe est d'au moins 7 caractères et inférieure à 40.
- Les mots de passe ne doivent pas contenir un mot de dictionnaire ou une partie d'un mot de dictionnaire.
- Les mots de passe ne doivent pas contenir le nom d’utilisateur ou des parties du nom d’utilisateur.
Exemple de mots de passe d'ESXi
retry=3 min=disabled,disabled,disabled,7,7Avec ce paramètre, un utilisateur est invité jusqu'à trois fois (retry=3) à entrer un nouveau mot de passe si celui-ci n'est pas suffisamment sécurisé ou si le mot de passe n'a pas été entré correctement deux fois. Les mots de passe avec une ou deux classes de caractères et des phrases de passe ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent sept caractères. Consultez la page du manuel pam_passwdqc pour plus d'informations sur les autres options, telles que max, passphrase, etc.
- xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
- xQaT3#A : contient sept caractères provenant de quatre classes de caractères.
- Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
- xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
Phrase secrète ESXi
Au lieu d'un mot de passe, vous pouvez utiliser une phrase secrète. Cependant, les phrases secrètes sont désactivées par défaut. Vous pouvez modifier le paramètre par défaut et d'autres paramètres à l'aide du paramètre système avancé Security.PasswordQualityControl à partir de vSphere Client.
Par exemple, vous pouvez remplacer l'option par la suivante.
retry=3 min=disabled,disabled,16,7,7
Cet exemple autorise des phrases secrètes d'au moins 16 caractères et d'au moins trois mots, séparés par des espaces.
Pour les hôtes hérités, la modification du fichier /etc/pamd/passwd est toujours prise en charge, mais vous ne pourrez plus le modifier dans les futures versions. Utilisez plutôt le paramètre système avancé Security.PasswordQualityControl.
Modification des restrictions de mot de passe par défaut
Vous pouvez modifier les restrictions par défaut des mots de passe ou des phrases secrètes en utilisant le paramètre système avancé Security.PasswordQualityControl de votre hôte ESXi. Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour plus d'informations sur la modification ESXi paramètres système avancés.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
Cet exemple définit l'exigence de complexité du mot de passe pour imposer huit caractères provenant de quatre classes de caractères qui appliquent une importante différence de mot de passe, un historique de cinq mots de passe et une stratégie de rotation de 90 jours :
min=disabled,disabled,disabled,disabled,8 similar=deny
Comportement de verrouillage de compte d'ESXi
Le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de 5 échecs de tentative de connexion est autorisé avant le verrouillage du compte. Le compte est déverrouillé au bout de 15 minutes par défaut.
Configuration du comportement de connexion
- Security.AccountLockFailures. Nombre maximal de tentatives de connexion échouées autorisées avant le verrouillage du compte de l'utilisateur. Zéro désactive le verrouillage du compte.
- Security.AccountUnlockTime. Nombre de secondes pendant lequel le compte d'un utilisateur est verrouillé.
- Security.PasswordHistory. Nombre de mots de passe à mémoriser pour chaque utilisateur. À partir de vSphere 8.0 Update 1, la valeur par défaut est de cinq. Zéro désactive l'historique des mots de passe.
Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.