Un criterio di complessità della password definisce i requisiti minimi per la definizione della password di un account. Le impostazioni sono diverse in base al tipo di account e al componente dell'istanza di VMware Cloud Foundation.
| Componente di gestione | Impostazioni complessità password | Ambito |
|---|---|---|
| ESXi |
|
Utente locale |
| vCenter Single Sign-On |
|
Dominio di vCenter Single Sign-On |
| vCenter Server |
|
Utente locale |
| NSX Manager |
|
Utente locale |
| NSX Edge |
|
Utente locale |
| SDDC Manager |
|
Utente locale |
Prerequisiti
Vedere Prerequisiti di configurazione dei criteri della password.
Configurazione del criterio di complessità della password dell'utente locale per ESXi
Definire i requisiti per le password degli utenti locali per gli host ESXi in VMware Cloud Foundation tra cui la lunghezza della password richiesta, i requisiti delle classi di caratteri o le passphrase consentite.
| Impostazione |
Valore predefinito |
|---|---|
| Security.PasswordHistory |
0 |
| Security.PasswordQualityControl |
retry=3 min=disabled,disabled,disabled,7,7 |
Per informazioni sul formato delle impostazioni di Security.PasswordQualityControl, vedere Password di ESXi e blocco dell'account nella documentazione Sicurezza di vSphere Security.
Procedura dell'interfaccia utente
- Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
- Nell'inventario Host e cluster passare al primo cluster vSphere ed espanderlo.
Selezionare il primo host ESXi e fare clic sulla scheda Configura.
Nella sezione Sistema fare clic su Impostazioni di sistema avanzate.
Nella pagina Impostazioni di sistema avanzate fare clic su Modifica.
Nella casella di testo del filtro chiavi immettere Security.PasswordHistory e configurare le impostazioni in base ai requisiti della propria organizzazione.
Nella casella di testo del filtro chiavi immettere Security.PasswordQualityControl, immettere i valori per le impostazioni in base ai requisiti della propria organizzazione e fare clic su OK.
Ripetere questa procedura in tutti gli host rimanenti nel cluster.
Ripetere questa procedura su tutti i cluster rimanenti nel dominio del carico di lavoro.
Ripetere questa procedura per tutti gli altri domini del carico di lavoro e i relativi cluster.
Procedura PowerShell
Avviare Windows PowerShell.
Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $policy = "retry=3 min=disabled,disabled,disabled,7,7” $history = "3"
Procedere alla configurazione eseguendo il comando nella console PowerShell.
Update-EsxiPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -policy $policy -history $history
Ripetere questa procedura in tutti i cluster rimanenti nel dominio del carico di lavoro di
$sddcDomainName.Ripetere questa procedura per tutti i cluster nei domini del carico di lavoro rimanenti.
Configurazione del criterio di complessità della password per vCenter Single Sign-On
Definire i requisiti del formato della password per il provider di identità integrato di vCenter Single Sign-On per VMware Cloud Foundation.
Il criterio di complessità della password si applica solo agli account utente del dominio vsphere.local del provider di identità integrato di vCenter Single Sign-On. Il criterio non si applica agli account del sistema locale e ad [email protected].
Impostazione |
Valore predefinito |
|---|---|
Limita riutilizzo |
5 |
Lunghezza massima |
20 |
Lunghezza minima |
8 |
Caratteri speciali |
1 |
Caratteri alfabetici |
2 |
Caratteri maiuscoli |
1 |
Caratteri minuscoli |
1 |
Caratteri numerici |
1 |
Caratteri identici adiacenti |
1 |
Procedura dell'interfaccia utente
- Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
- Dal menu di vSphere Client, selezionare Amministrazione.
Nella sezione Single Sign-On fare clic su Configurazione.
Nella pagina Configurazione fare clic sulla scheda Account locali.
Nella sezione Criterio password fare clic su Modifica.
Modificare le impostazioni in base ai requisiti della propria organizzazione e fare clic su Salva.
Procedura PowerShell
Avviare Windows PowerShell.
Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "8" $maxLength = "20" $minAlphabetic = "2" $minLowercase = "1" $minUppercase = "1" $minNumerical = "1" $minSpecial = "1" $maxIdenticalAdjacent = "1" $history = "5"
Procedere alla configurazione eseguendo il comando nella console PowerShell.
Update-SsoPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -maxLength $maxLength -minAlphabetic $minAlphabetic -minLowercase $minLowercase -minUppercase $minUppercase -minNumeric $minNumerical -minSpecial $minSpecial -maxIdenticalAdjacent $maxIdenticalAdjacent -history $history
Configurazione del criterio di complessità della password dell'utente locale per vCenter Server
Definire i requisiti del formato della password per gli utenti locali delle vCenter Server Appliance di VMware Cloud Foundation, ad esempio l'account root.
Impostazione |
Valore predefinito |
Descrizione |
|---|---|---|
minlen |
6 |
Lunghezza minima della password |
lcredit |
-1 |
Numero massimo di caratteri minuscoli che genereranno un credito |
ucredit |
-1 |
Numero massimo di caratteri maiuscoli che genereranno un credito |
dcredit |
-1 |
Numero massimo di cifre che genereranno un credito |
ocredit |
-1 |
Numero massimo di altri caratteri che genereranno un credito |
difok |
4 |
Numero minimo di caratteri che deve essere diverso da quelli della vecchia password |
remember |
5 |
Numero massimo di password che il sistema ricorda |
Procedura dell'interfaccia utente
Accedere a vCenter Server Appliance per un dominio del carico di lavoro utilizzando SSH come root.
Abilitare l'accesso shell.
shell
- Eseguire il backup dei requisiti della password per l'appliance utilizzando il comando seguente.
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
-
Specificare queste impostazioni in base ai requisiti della propria organizzazione utilizzando i comandi seguenti.
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-passwords sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
Ripetere questa procedura nell'istanza di vCenter Server per i domini del carico di lavoro rimanenti.
Procedura PowerShell
- Avviare Windows PowerShell.
- Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "6" $minLowercase = "-1" $minUppercase = "-1" $minNumeric = "-1" $minSpecial = "-1" $minUnique = "4" $history = "5"
- Procedere alla configurazione eseguendo il comando nella console PowerShell.
Update-VcenterPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumeric -minSpecial $minSpecial -minUnique $minUnique -history $history
- Ripetere questa procedura per tutti i domini del carico di lavoro VI.
Configurazione del criterio di complessità della password dell'utente locale per NSX Manager
Definire i requisiti del formato della password per gli utenti locali delle appliance NSX Manager in VMware Cloud Foundation.
Impostazione |
Valore predefinito |
Descrizione |
|---|---|---|
minlen |
12 |
Lunghezza minima della password
Nota:
Se il criterio della password richiede l'impostazione della lunghezza minima della password su un valore maggiore di 20, non è possibile utilizzare la rotazione della password in SDDC Manager. |
lcredit |
-1 |
Numero massimo di caratteri minuscoli che genereranno un credito |
ucredit |
-1 |
Numero massimo di caratteri maiuscoli che genereranno un credito |
dcredit |
-1 |
Numero massimo di cifre che genereranno un credito |
ocredit |
-1 |
Numero massimo di altri caratteri che genereranno un credito |
difok |
0 |
Numero minimo di caratteri che deve essere diverso da quelli della vecchia password |
| MAX_PASSWORD_LEN | 128 | Lunghezza massima della password |
| maxrepeat | 0 | Numero massimo di caratteri consecutivi consentiti |
| maxsequence | 0 | Numero massimo di volte per cui un singolo carattere può essere ripetuto |
| remember | 0 | Numero massimo di password che il sistema ricorda |
| hash_algorithm | sha512 | Algoritmo hash |
Procedura dell'interfaccia utente
- Accedere al vCenter Server all'indirizzo https://<vcenter_server_fqdn>/ui come [email protected].
- Espandere la cartella della macchina virtuale contenente il cluster NSX Manager per il dominio di gestione.
- Selezionare il primo nodo del cluster di NSX Manager e fare clic su Avvia console Web.
- Accedere al nodo di NSX Manager come amministratore.
- Iniziare a modificare il criterio di complessità della password eseguendo il comando set password-complexity.
- Nel prompt specificare in modo interattivo le impostazioni di complessità della password in base ai requisiti della propria organizzazione.
Minimum password length (leave empty to not change): <your_value> Maximum password length (leave empty to not change): <your_value> Lower characters (leave empty to not change): <your_value> Upper characters (leave empty to not change): <your_value> Numeric characters (leave empty to not change): <your_value> Special characters (leave empty to not change): <your_value> Minimum unique characters (leave empty to not change): <your_value> Allowed similar consecutives (leave empty to not change): <your_value> Allowed monotonic sequence (leave empty to not change): <your_value> Hash algorithm (leave empty to not change): <your_value> Password remembrance (leave empty to not change): <your_value>
- Ripetere questa procedura nei nodi NSX Local Manager rimanenti per il dominio di gestione.
- Ripetere questa procedura nei cluster NSX Local Manager per tutti i domini del carico di lavoro VI.
- Ripetere questa procedura in tutti i nodi NSX Global Manager.
Procedura PowerShell
- Avviare Windows PowerShell.
- Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "12" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "0" $maxLength = "128" $maxRepeats = "0" $maxSequence = "0" $history = "0" $hashAlgorithm = "sha512"
- Procedere alla configurazione eseguendo il comando nella console PowerShell.
Update-NsxtManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxLength $maxLenth -maxRepeats $maxRepeats -maxSequence $maxSequence -history $history -hash_algorithm $hashAlgorithm
- Ripetere questa procedura nei cluster NSX Local Manager per tutti i domini del carico di lavoro VI.
- Configurare manualmente i criteri di complessità della password in tutti i cluster NSX Global Manager nella console dell'appliance di ogni nodo.
Configurazione del criterio di complessità della password dell'utente locale per NSX Edge
Definire i requisiti del formato della password per gli utenti locali nell'appliance NSX Edge in VMware Cloud Foundation.
Impostazione |
Valore predefinito |
Descrizione |
|---|---|---|
minlen |
15 |
Lunghezza minima della password
Nota:
Se il criterio della password richiede l'impostazione della lunghezza minima della password su un valore maggiore di 20, non è possibile utilizzare la rotazione della password in SDDC Manager. |
lcredit |
-1 |
Numero massimo di caratteri minuscoli che genereranno un credito |
ucredit |
-1 |
Numero massimo di caratteri maiuscoli che genereranno un credito |
dcredit |
-1 |
Numero massimo di cifre che genereranno un credito |
ocredit |
-1 |
Numero massimo di altri caratteri che genereranno un credito |
difok |
0 |
Numero minimo di caratteri che deve essere diverso da quelli della vecchia password |
retry |
3 |
Numero massimo di tentativi |
Procedura dell'interfaccia utente
Se si sta configurando un'appliance virtuale NSX Edge, aprire la console dell'appliance utilizzando la console Web in vSphere Client.
- Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
Nell'inventario Macchine virtuali e modelli passare alla cartella della macchina virtuale contenente il cluster NSX Edge per il dominio del carico di lavoro ed espanderla.
Selezionare il primo nodo del cluster NSX Edge e fare clic su Avvia console Web.
Se si configura un'appliance NSX Edge avanzata, aprire la console dell'appliance utilizzando un'interfaccia di gestione fuori banda, ad esempio iLO o iDRAC.
Accedere al nodo NSX Edge come root.
Eseguire il backup dei requisiti della password per l'appliance utilizzando il comando seguente.
cp -p /etc/pam.d/common-password /etc/pam.d/common-password-`date +%F_%H:%M:%S`.back
Specificare queste impostazioni in base ai requisiti della propria organizzazione utilizzando i comandi seguenti.
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/common-password sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/common-password
Ripetere questa procedura nei nodi del cluster NSX Edge rimanenti nel dominio del carico di lavoro.
Ripetere questa procedura in tutti i cluster NSX Edge nei domini del carico di lavoro rimanenti.
Procedura PowerShell
È possibile utilizzare il comando PowerShell per configurare i criteri di complessità della password solo nei nodi NSX Edge di VMware Cloud Foundation distribuiti tramite SDDC Manager. Per le appliance virtuali di NSX Edge distribuite manualmente e per le appliance degli elementi di NSX bare-metal, configurare manualmente i criteri in base alla documentazione di NSX.
Avviare Windows PowerShell.
Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $minLength = "15" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "0" $maxRetry = "3"
Procedere alla configurazione eseguendo il comando nella console PowerShell.
Update-NsxtEdgePasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxRetry $maxRetry
Ripetere questa procedura per tutti i cluster NSX Edge nei domini del carico di lavoro rimanenti.
Configurazione del criterio di complessità della password dell'utente locale per SDDC Manager
Definire i requisiti del formato della password per gli utenti locali dell'appliance SDDC Manager.
| Impostazione |
Valore predefinito |
Descrizione |
|---|---|---|
| minlen |
8 |
Lunghezza minima della password |
| lcredit |
-1 |
Numero massimo di caratteri minuscoli che genereranno un credito |
| ucredit |
-1 |
Numero massimo di caratteri maiuscoli che genereranno un credito |
| dcredit |
-1 |
Numero massimo di cifre che genereranno un credito |
| ocredit |
-1 |
Numero massimo di altri caratteri che genereranno un credito |
| minclass |
4 |
Numero minimo di tipi di caratteri che devono essere utilizzati (ovvero maiuscole, minuscole, numeri e altri) |
| difok |
4 |
Numero minimo di caratteri che deve essere diverso da quelli della vecchia password |
| retry |
3 |
Numero massimo di tentativi |
| maxsequence |
0 |
Numero massimo di volte per cui un singolo carattere può essere ripetuto |
| remember |
5 |
Numero massimo di password che il sistema ricorda |
Procedura dell'interfaccia utente
- Accedere all'appliance SDDC Manager utilizzando SSH come vcf.
- Passare all'utente root.
su -
- Ripristinare i requisiti della password utilizzando il comando seguente.
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
Specificare queste impostazioni in base ai requisiti della propria organizzazione utilizzando i comandi seguenti.
sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/system-password sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password
Procedura PowerShell
Avviare Windows PowerShell.
Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $minLength = "6" $minLowercase = "-1" $minUppercase = "-1" $minNumerical = "-1" $minSpecial = "-1" $minUnique = "4" $minClass = "4" $maxSequence = "0" $history = "5" $maxRetry = "3"
Procedere alla configurazione eseguendo il comando nella console PowerShell.
Update-SddcManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -minClass $minClass -maxSequence $maxSequence -history $history -maxRetry $maxRetry
