Un criterio di complessità della password definisce i requisiti minimi per la definizione della password di un account. Le impostazioni sono diverse in base al tipo di account e al componente dell'istanza di VMware Cloud Foundation.

Componente di gestione Impostazioni complessità password Ambito
ESXi
  • Lunghezza minima
  • Numero minimo di caratteri minuscoli
  • Numero minimo di caratteri maiuscoli
  • Numero minimo di caratteri numerici
  • Numero minimo di caratteri speciali
  • Numero minimo di password univoche prima del riutilizzo
Utente locale
vCenter Single Sign-On
  • Lunghezza minima
  • Lunghezza massima
  • Numero minimo di caratteri alfabetici
  • Numero minimo di caratteri minuscoli
  • Numero minimo di caratteri maiuscoli
  • Numero minimo di caratteri numerici
  • Numero minimo di caratteri speciali
  • Numero massimo di caratteri identici consecutivi
  • Numero minimo di password univoche prima del riutilizzo
Dominio di vCenter Single Sign-On
vCenter Server
  • Lunghezza minima
  • Numero minimo di caratteri minuscoli
  • Numero minimo di caratteri maiuscoli
  • Numero minimo di caratteri numerici
  • Numero minimo di caratteri speciali
  • Numero minimo di password univoche prima del riutilizzo
Utente locale
NSX Manager
  • Lunghezza minima
  • Numero minimo di caratteri minuscoli
  • Numero minimo di caratteri maiuscoli
  • Numero minimo di caratteri numerici
  • Numero minimo di caratteri speciali
  • Numero minimo di caratteri diversi dalla vecchia password
Utente locale
NSX Edge
  • Lunghezza minima
  • Numero minimo di caratteri minuscoli
  • Numero minimo di caratteri maiuscoli
  • Numero minimo di caratteri numerici
  • Numero minimo di caratteri speciali
  • Numero minimo di caratteri diversi dalla vecchia password
Utente locale
SDDC Manager
  • Lunghezza minima
  • Numero minimo di caratteri minuscoli
  • Numero minimo di caratteri maiuscoli
  • Numero minimo di caratteri numerici
  • Numero minimo di caratteri speciali
  • Numero minimo di caratteri diversi dalla vecchia password
  • Numero minimo di password univoche prima del riutilizzo
Utente locale

Prerequisiti

Vedere Prerequisiti di configurazione dei criteri della password.

Configurazione del criterio di complessità della password dell'utente locale per ESXi

Definire i requisiti per le password degli utenti locali per gli host ESXi in VMware Cloud Foundation tra cui la lunghezza della password richiesta, i requisiti delle classi di caratteri o le passphrase consentite.

Impostazione

Valore predefinito

Security.PasswordHistory

0

Security.PasswordQualityControl

retry=3 min=disabled,disabled,disabled,7,7

Per informazioni sul formato delle impostazioni di Security.PasswordQualityControl, vedere Password di ESXi e blocco dell'account nella documentazione Sicurezza di vSphere Security.

Procedura dell'interfaccia utente

  1. Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
  2. Nell'inventario Host e cluster passare al primo cluster vSphere ed espanderlo.
  3. Selezionare il primo host ESXi e fare clic sulla scheda Configura.

  4. Nella sezione Sistema fare clic su Impostazioni di sistema avanzate.

  5. Nella pagina Impostazioni di sistema avanzate fare clic su Modifica.

  6. Nella casella di testo del filtro chiavi immettere Security.PasswordHistory e configurare le impostazioni in base ai requisiti della propria organizzazione.

  7. Nella casella di testo del filtro chiavi immettere Security.PasswordQualityControl, immettere i valori per le impostazioni in base ai requisiti della propria organizzazione e fare clic su OK.

  8. Ripetere questa procedura in tutti gli host rimanenti nel cluster.

  9. Ripetere questa procedura su tutti i cluster rimanenti nel dominio del carico di lavoro.

  10. Ripetere questa procedura per tutti gli altri domini del carico di lavoro e i relativi cluster.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    $cluster = "sfo-m01-cl01"
    
    $policy = "retry=3 min=disabled,disabled,disabled,7,7”
    $history = "3"
    
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-EsxiPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -policy $policy -history $history
  4. Ripetere questa procedura in tutti i cluster rimanenti nel dominio del carico di lavoro di $sddcDomainName.

  5. Ripetere questa procedura per tutti i cluster nei domini del carico di lavoro rimanenti.

Configurazione del criterio di complessità della password per vCenter Single Sign-On

Definire i requisiti del formato della password per il provider di identità integrato di vCenter Single Sign-On per VMware Cloud Foundation.

Il criterio di complessità della password si applica solo agli account utente del dominio vsphere.local del provider di identità integrato di vCenter Single Sign-On. Il criterio non si applica agli account del sistema locale e ad [email protected].

Impostazione

Valore predefinito

Limita riutilizzo

5

Lunghezza massima

20

Lunghezza minima

8

Caratteri speciali

1

Caratteri alfabetici

2

Caratteri maiuscoli

1

Caratteri minuscoli

1

Caratteri numerici

1

Caratteri identici adiacenti

1

Procedura dell'interfaccia utente

  1. Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
  2. Dal menu di vSphere Client, selezionare Amministrazione.
  3. Nella sezione Single Sign-On fare clic su Configurazione.

  4. Nella pagina Configurazione fare clic sulla scheda Account locali.

  5. Nella sezione Criterio password fare clic su Modifica.

  6. Modificare le impostazioni in base ai requisiti della propria organizzazione e fare clic su Salva.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "8"
    $maxLength = "20"
    $minAlphabetic = "2"
    $minLowercase = "1"
    $minUppercase = "1"
    $minNumerical = "1"
    $minSpecial = "1"
    $maxIdenticalAdjacent = "1"
    $history = "5"
    
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-SsoPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -maxLength $maxLength -minAlphabetic $minAlphabetic -minLowercase $minLowercase -minUppercase $minUppercase -minNumeric $minNumerical -minSpecial $minSpecial -maxIdenticalAdjacent $maxIdenticalAdjacent -history $history

Configurazione del criterio di complessità della password dell'utente locale per vCenter Server

Definire i requisiti del formato della password per gli utenti locali delle vCenter Server Appliance di VMware Cloud Foundation, ad esempio l'account root.

Impostazione

Valore predefinito

Descrizione

minlen

6

Lunghezza minima della password

lcredit

-1

Numero massimo di caratteri minuscoli che genereranno un credito

ucredit

-1

Numero massimo di caratteri maiuscoli che genereranno un credito

dcredit

-1

Numero massimo di cifre che genereranno un credito

ocredit

-1

Numero massimo di altri caratteri che genereranno un credito

difok

4

Numero minimo di caratteri che deve essere diverso da quelli della vecchia password

remember

5

Numero massimo di password che il sistema ricorda

Procedura dell'interfaccia utente

  1. Accedere a vCenter Server Appliance per un dominio del carico di lavoro utilizzando SSH come root.

  2. Abilitare l'accesso shell.

    shell
  3. Eseguire il backup dei requisiti della password per l'appliance utilizzando il comando seguente.
    cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
  4. Specificare queste impostazioni in base ai requisiti della propria organizzazione utilizzando i comandi seguenti.

    sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-passwords
    sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
  5. Ripetere questa procedura nell'istanza di vCenter Server per i domini del carico di lavoro rimanenti.

Procedura PowerShell

  1. Avviare Windows PowerShell.
  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "6"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumeric = "-1"
    $minSpecial = "-1"
    $minUnique = "4"
    $history = "5"
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.
    Update-VcenterPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumeric -minSpecial $minSpecial -minUnique $minUnique -history $history
  4. Ripetere questa procedura per tutti i domini del carico di lavoro VI.

Configurazione del criterio di complessità della password dell'utente locale per NSX Manager

Definire i requisiti del formato della password per gli utenti locali delle appliance NSX Manager in VMware Cloud Foundation.

Impostazione

Valore predefinito

Descrizione

minlen

12

Lunghezza minima della password

Nota:

Se il criterio della password richiede l'impostazione della lunghezza minima della password su un valore maggiore di 20, non è possibile utilizzare la rotazione della password in SDDC Manager.

lcredit

-1

Numero massimo di caratteri minuscoli che genereranno un credito

ucredit

-1

Numero massimo di caratteri maiuscoli che genereranno un credito

dcredit

-1

Numero massimo di cifre che genereranno un credito

ocredit

-1

Numero massimo di altri caratteri che genereranno un credito

difok

0

Numero minimo di caratteri che deve essere diverso da quelli della vecchia password

MAX_PASSWORD_LEN 128 Lunghezza massima della password
maxrepeat 0 Numero massimo di caratteri consecutivi consentiti
maxsequence 0 Numero massimo di volte per cui un singolo carattere può essere ripetuto
remember 0 Numero massimo di password che il sistema ricorda
hash_algorithm sha512 Algoritmo hash

Procedura dell'interfaccia utente

  1. Accedere al vCenter Server all'indirizzo https://<vcenter_server_fqdn>/ui come [email protected].
  2. Espandere la cartella della macchina virtuale contenente il cluster NSX Manager per il dominio di gestione.
  3. Selezionare il primo nodo del cluster di NSX Manager e fare clic su Avvia console Web.
  4. Accedere al nodo di NSX Manager come amministratore.
  5. Iniziare a modificare il criterio di complessità della password eseguendo il comando set password-complexity.
  6. Nel prompt specificare in modo interattivo le impostazioni di complessità della password in base ai requisiti della propria organizzazione.
    Minimum password length (leave empty to not change): <your_value>
    Maximum password length (leave empty to not change): <your_value>
    Lower characters (leave empty to not change): <your_value>
    Upper characters (leave empty to not change): <your_value>
    Numeric characters (leave empty to not change): <your_value>
    Special characters (leave empty to not change): <your_value>
    Minimum unique characters (leave empty to not change): <your_value>
    Allowed similar consecutives (leave empty to not change): <your_value>
    Allowed monotonic sequence (leave empty to not change): <your_value>
    Hash algorithm (leave empty to not change): <your_value>
    Password remembrance (leave empty to not change): <your_value>
  7. Ripetere questa procedura nei nodi NSX Local Manager rimanenti per il dominio di gestione.
  8. Ripetere questa procedura nei cluster NSX Local Manager per tutti i domini del carico di lavoro VI.
  9. Ripetere questa procedura in tutti i nodi NSX Global Manager.

Procedura PowerShell

  1. Avviare Windows PowerShell.
  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "12"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumerical = "-1"
    $minSpecial = "-1"
    $minUnique = "0"
    $maxLength = "128"
    $maxRepeats = "0"
    $maxSequence = "0"
    $history = "0"
    $hashAlgorithm = "sha512"
    
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.
    Update-NsxtManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxLength $maxLenth -maxRepeats $maxRepeats -maxSequence $maxSequence -history $history -hash_algorithm $hashAlgorithm
  4. Ripetere questa procedura nei cluster NSX Local Manager per tutti i domini del carico di lavoro VI.
  5. Configurare manualmente i criteri di complessità della password in tutti i cluster NSX Global Manager nella console dell'appliance di ogni nodo.

Configurazione del criterio di complessità della password dell'utente locale per NSX Edge

Definire i requisiti del formato della password per gli utenti locali nell'appliance NSX Edge in VMware Cloud Foundation.

Impostazione

Valore predefinito

Descrizione

minlen

15

Lunghezza minima della password

Nota:

Se il criterio della password richiede l'impostazione della lunghezza minima della password su un valore maggiore di 20, non è possibile utilizzare la rotazione della password in SDDC Manager.

lcredit

-1

Numero massimo di caratteri minuscoli che genereranno un credito

ucredit

-1

Numero massimo di caratteri maiuscoli che genereranno un credito

dcredit

-1

Numero massimo di cifre che genereranno un credito

ocredit

-1

Numero massimo di altri caratteri che genereranno un credito

difok

0

Numero minimo di caratteri che deve essere diverso da quelli della vecchia password

retry

3

Numero massimo di tentativi

Procedura dell'interfaccia utente

  1. Se si sta configurando un'appliance virtuale NSX Edge, aprire la console dell'appliance utilizzando la console Web in vSphere Client.

    1. Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
    2. Nell'inventario Macchine virtuali e modelli passare alla cartella della macchina virtuale contenente il cluster NSX Edge per il dominio del carico di lavoro ed espanderla.

    3. Selezionare il primo nodo del cluster NSX Edge e fare clic su Avvia console Web.

  2. Se si configura un'appliance NSX Edge avanzata, aprire la console dell'appliance utilizzando un'interfaccia di gestione fuori banda, ad esempio iLO o iDRAC.

  3. Accedere al nodo NSX Edge come root.

  4. Eseguire il backup dei requisiti della password per l'appliance utilizzando il comando seguente.

    cp -p /etc/pam.d/common-password /etc/pam.d/common-password-`date +%F_%H:%M:%S`.back
    
  5. Specificare queste impostazioni in base ai requisiti della propria organizzazione utilizzando i comandi seguenti.

    sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/common-password
    sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/common-password
  6. Ripetere questa procedura nei nodi del cluster NSX Edge rimanenti nel dominio del carico di lavoro.

  7. Ripetere questa procedura in tutti i cluster NSX Edge nei domini del carico di lavoro rimanenti.

Procedura PowerShell

È possibile utilizzare il comando PowerShell per configurare i criteri di complessità della password solo nei nodi NSX Edge di VMware Cloud Foundation distribuiti tramite SDDC Manager. Per le appliance virtuali di NSX Edge distribuite manualmente e per le appliance degli elementi di NSX bare-metal, configurare manualmente i criteri in base alla documentazione di NSX.

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $minLength = "15"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumerical = "-1"
    $minSpecial = "-1"
    $minUnique = "0"
    $maxRetry = "3"
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-NsxtEdgePasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxRetry $maxRetry
  4. Ripetere questa procedura per tutti i cluster NSX Edge nei domini del carico di lavoro rimanenti.

Configurazione del criterio di complessità della password dell'utente locale per SDDC Manager

Definire i requisiti del formato della password per gli utenti locali dell'appliance SDDC Manager.

Impostazione

Valore predefinito

Descrizione

minlen

8

Lunghezza minima della password

lcredit

-1

Numero massimo di caratteri minuscoli che genereranno un credito

ucredit

-1

Numero massimo di caratteri maiuscoli che genereranno un credito

dcredit

-1

Numero massimo di cifre che genereranno un credito

ocredit

-1

Numero massimo di altri caratteri che genereranno un credito

minclass

4

Numero minimo di tipi di caratteri che devono essere utilizzati (ovvero maiuscole, minuscole, numeri e altri)

difok

4

Numero minimo di caratteri che deve essere diverso da quelli della vecchia password

retry

3

Numero massimo di tentativi

maxsequence

0

Numero massimo di volte per cui un singolo carattere può essere ripetuto

remember

5

Numero massimo di password che il sistema ricorda

Procedura dell'interfaccia utente

  1. Accedere all'appliance SDDC Manager utilizzando SSH come vcf.
  2. Passare all'utente root.
    su -
  3. Ripristinare i requisiti della password utilizzando il comando seguente.
    cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
  4. Specificare queste impostazioni in base ai requisiti della propria organizzazione utilizzando i comandi seguenti.

    sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/system-password
    sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    # Replace with the name of your management domain
    $sddcDomainName = "sfo-m01"
    
    $rootPass = "VMw@re1!"
    $minLength = "6"
    $minLowercase = "-1"
    $minUppercase = "-1"
    $minNumerical = "-1"
    $minSpecial = "-1"
    $minUnique = "4"
    $minClass = "4"
    $maxSequence = "0"
    $history = "5"
    $maxRetry = "3"
    
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-SddcManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -minClass $minClass -maxSequence $maxSequence -history $history -maxRetry $maxRetry