Un criterio di blocco dell'account definisce il comportamento del sistema quando per eseguire l'autenticazione nel sistema vengono utilizzate credenziali non corrette. Le impostazioni sono diverse in base al tipo di account e al componente dell'istanza di VMware Cloud Foundation.

Componente di gestione Impostazioni di blocco account Ambito
ESXi
  • Numero massimo di tentativi non riusciti
  • Durata blocco account (secondi)
 Utente locale
vCenter Single Sign-On
  • Numero massimo di tentativi non riusciti
  • Intervallo tra tentativi non riusciti (secondi)
  • Durata blocco account (secondi)
 Dominio di vCenter Single Sign-On
vCenter Server
  • Numero massimo di tentativi non riusciti
  • Durata blocco account (secondi)
  • Durata blocco account root (secondi)
 Utente locale
NSX Manager

  • Numero massimo di tentativi non riusciti

  • Durata blocco account (secondi)

  • Durata reimpostazione account (secondi)

 Utente locale
NSX Edge

  • Numero massimo di tentativi non riusciti

  • Durata blocco account (secondi)

 Utente locale
SDDC Manager

  • Numero massimo di tentativi non riusciti

  • Durata blocco account (secondi)

  • Durata blocco account root (secondi)

 Utente locale

Prerequisiti

Vedere Prerequisiti di configurazione dei criteri della password.

Configurazione del criterio di blocco dell'account locale per ESXi

Impostare il numero massimo di tentativi di accesso non riusciti e il tempo che deve trascorrere prima che un account locale in un host ESXi in VMware Cloud Foundation venga sbloccato automaticamente.

Impostazione

Valore predefinito

Security.AccountLockFailures

5

Security.AccountUnlockTime

900

Procedura dell'interfaccia utente

  1. Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.

  2. Nell'inventario Host e cluster passare al primo cluster vSphere ed espanderlo.

  3. Selezionare il primo host ESXi e fare clic sulla scheda Configura.

  4. Nella sezione Sistema fare clic su Impostazioni di sistema avanzate.

  5. Nella pagina Impostazioni di sistema avanzate fare clic su Modifica.

  6. Nella casella di testo del filtro chiavi immettere Security.AccountLockFailures e inserire un valore in base ai requisiti della propria organizzazione.

  7. Nella casella di testo del filtro chiavi immettere Security.AccountUnlockTime, inserire un valore in base ai requisiti della propria organizzazione e fare clic su OK.

  8. Ripetere questa procedura negli host rimanenti nel cluster.

  9. Ripetere questa procedura nei cluster rimanenti nel dominio del carico di lavoro.

  10. Ripetere questa procedura in tutti i cluster nei domini del carico di lavoro rimanenti.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"
$cluster = "sfo-m01-cl01"

$maxFailures = "5"
$unlockInterval = "900"

  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval

  4. Ripetere questa procedura in tutti i cluster rimanenti nel dominio del carico di lavoro $sddcDomainName.

  5. Ripetere questa procedura in tutti i cluster nei domini del carico di lavoro rimanenti.

Configurazione del criterio di blocco dell'account per vCenter Single Sign-On

Impostare il numero massimo di tentativi di accesso non riusciti e l'intervallo di tempo tra gli errori per un account utente nel dominio vsphere.local in VMware Cloud Foundation. Impostare anche il tempo che deve trascorrere prima che l'account venga sbloccato automaticamente.

Il criterio di blocco si applica solo agli account utente nel provider di identità integrato di vCenter Single Sign-On vsphere.local. Il criterio non si applica agli account del sistema locale e ad [email protected].
Impostazione Valore predefinito
Numero massimo di tentativi di accesso non riusciti 5
Intervallo di tempo tra gli errori 180 secondi
Tempo di sblocco 900 seconds

Procedura dell'interfaccia utente

  1. Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
  2. Dal menu di vSphere Client, selezionare Amministrazione.
  3. Nella sezione Single Sign-On fare clic su Configurazione.
  4. Nella pagina Configurazione fare clic sulla scheda Account locali.
  5. Nella sezione Criterio di blocco fare clic su Modifica.
  6. Immettere i valori per le impostazioni in base ai requisiti della propria organizzazione e fare clic su Salva.

Procedura PowerShell

  1. Avviare Windows PowerShell.
  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxFailures = "5"
$failureAttemptInterval = "180"
$unlockInterval = "900"
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.
    Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval

Configurazione del criterio di blocco dell'account utente root per vCenter Server

Impostare il numero massimo di tentativi di accesso non riusciti e il tempo che deve trascorrere prima che l'account venga sbloccato automaticamente per l'account locale root nelle vCenter Server Appliance di VMware Cloud Foundation.

Impostazione

Valore predefinito

Numero massimo di tentativi di accesso non riusciti

3

Tempo di sblocco per root

300 secondi

Tempo di sblocco

900 secondi

Procedura dell'interfaccia utente

  1. Accedere a vCenter Server Appliance tramite SSH come root.

  2. Abilitare l'accesso shell.

    shell

  3. Eseguire il backup dei requisiti di autenticazione per l'appliance utilizzando il comando seguente.

    cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back

  4. Modificare il numero massimo di tentativi non riusciti utilizzando il comando seguente.

    sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth

  5. Modificare il tempo di sblocco per l'account root utilizzando il comando seguente.

    sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth

  6. Modificare il tempo di sblocco per l'account root utilizzando il comando seguente.

    sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth

  7. Ripetere questa procedura per ogni dominio del carico di lavoro di vCenter Server.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$maxFailures = "5"
$unlockInterval = "900"
$rootUnlockInterval = "300"

  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval

  4. Ripetere questa procedura per ogni dominio del carico di lavoro di vCenter Server.

Configurazione del criterio di blocco dell'account utente locale per NSX Manager

Impostare il numero massimo di tentativi di accesso non riusciti e il tempo che deve trascorrere prima che un account venga sbloccato automaticamente per gli utenti locali delle appliance NSX Manager in VMware Cloud Foundation.

Metodo

Impostazione

Valore predefinito

API

max-auth-failures

5

lockout-reset-period

180 secondi

lockout-period

900 seconds

CLI

max-auth-failures

5

lockout-period

900 seconds

Procedura dell'interfaccia utente

  1. Accedere al vCenter Server del dominio di gestione all'indirizzo https://<management_vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.
  2. Nell'inventario Macchine virtuali e modelli, espandere la struttura del vCenter Server del dominio di gestione ed espandere il data center del dominio di gestione.

  3. Espandere la cartella della macchina virtuale contenente il cluster di NSX Manager.

  4. Selezionare il primo nodo del cluster di NSX Manager e fare clic su Avvia console Web.

  5. Accedere al nodo di NSX Manager come amministratore.

  6. Per configurare il criterio di blocco dell'account per l'accesso o per effettuare una richiesta API all'interfaccia utente di NSX Manager in base ai requisiti dell'organizzazione, eseguire i comani seguenti.

    set auth-policy api lockout-period <lockout-period>
set auth-policy api lockout-reset-period <lockout-reset-period>
set auth-policy api max-auth-failures <auth-failures>

  7. Per configurare il criterio di blocco degli account per accedere alla CLI di NSX in base ai requisiti dell'organizzazione, eseguire i comandi seguenti.

    set auth-policy cli lockout-period <lockout-period>
set auth-policy cli max-auth-failures <auth-failures>

  8. Ripetere questa procedura nei nodi di NSX Local Manager rimanenti nel dominio di gestione.

  9. Ripetere questa procedura nei nodi di NSX Local Manager per tutti i domini del carico di lavoro VI.

  10. Ripetere questa procedura per tutti i cluster di NSX Global Manager.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$cliMaxFailures = "5"
$cliUnlockInterval = "900"
$apiMaxFailures = "5"
$apiUnlockInterval = "900"
$apiFailureInterval = "180"

  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval

  4. Ripetere questa procedura per tutti i cluster di NSX Local Manager nei domini del carico di lavoro VI.

  5. Configurare manualmente i criteri di blocco dell'account su tutti i cluster di NSX Global Manager nella console dell'appliance di ciascun nodo.

Configurazione del criterio di blocco dell'account utente locale per NSX Edge

Impostare il numero massimo di tentativi di accesso non riusciti e il tempo che deve trascorrere prima che un account venga sbloccato automaticamente per gli utenti locali delle appliance NSX Edge in VMware Cloud Foundation.

Metodo

Impostazione

Valore predefinito

CLI

max-auth-failures

5

lockout-period

900 seconds

Procedura dell'interfaccia utente

  1. Se si sta configurando un'appliance virtuale NSX Edge, aprire la console dell'appliance utilizzando la console Web in vSphere Client.

    1. Accedere all'istanza di vCenter Server per il dominio del carico di lavoro all'indirizzo https://<vcenter_server_fqdn>/ui utilizzando un account con privilegi di Amministratore.

    2. Nell'inventario Macchine virtuali e modelli, passare a ed espandere la cartella della macchina virtuale contenente il cluster NSX Edge.

    3. Selezionare il primo nodo del cluster NSX Edge e fare clic su Avvia console Web.

  2. Se si configura un'appliance NSX Edge avanzata, aprire la console dell'appliance utilizzando un'interfaccia di gestione fuori banda, ad esempio iLO o iDRAC.

  3. Accedere al nodo di NSX Edge come amministratore.

  4. Per configurare il criterio di blocco degli account per l'accesso alla CLI di NSX in base ai requisiti dell'organizzazione, eseguire i comandi.

    set auth-policy cli lockout-period <lockout-period>
set auth-policy cli max-auth-failures <auth-failures>

  5. Ripetere questa procedura nei nodi NSX Edge rimanenti nel dominio del carico di lavoro.

  6. Ripetere questa procedura in tutti i nodi di NSX Edge nei domini del carico di lavoro rimanenti.

Procedura PowerShell

È possibile utilizzare il comando PowerShell per configurare i criteri di blocco degli account solo nei nodi di NSX Edge in VMware Cloud Foundation distribuiti utilizzando SDDC Manager. Per le appliance virtuali di NSX Edge distribuite manualmente e per le appliance degli elementi di NSX bare-metal, configurare manualmente i criteri in base alla documentazione di NSX.

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$cliMaxFailures = "5"
$cliUnlockInterval = "900"

  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.

    Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval

  4. Ripetere questa procedura per tutti i domini del carico di lavoro rimanenti.

Configurazione del criterio di blocco dell'account utente locale per SDDC Manager

Impostare il numero massimo di tentativi di accesso non riusciti e il tempo che deve trascorrere prima che un account sull'appliance SDDC Manager venga sbloccato automaticamente.

Impostazione

Valore predefinito

Numero massimo di tentativi di accesso non riusciti

3

Tempo di sblocco per root

300 secondi

Tempo di sblocco per tutti gli account locali

86400 secondi

Procedura dell'interfaccia utente

  1. Accedere all'appliance SDDC Manager utilizzando SSH come vcf.
  2. Passare all'utente root.
    su -
  3. Eseguire il backup dei requisiti di autenticazione per l'appliance utilizzando il comando seguente. 
    cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back

  4. Modificare il numero massimo di tentativi non riusciti utilizzando il comando seguente.

    sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth

  5. Modificare il tempo di sblocco per l'account root utilizzando il comando seguente.

    sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth

  6. Modificare il tempo di sblocco per tutti gli account locali utilizzando il comando seguente.

    sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth

La configurazione viene applicata a tutti gli account utente locali nell'appliance SDDC Manager.

Procedura PowerShell

  1. Avviare Windows PowerShell.
  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

# Replace with the name of your management domain
$sddcDomainName = "sfo-m01"

$rootPass = "VMw@re1!"
$maxFailures = "3"
$unlockInterval = "86400"
$rootUnlockInterval = "300"
  3. Procedere alla configurazione eseguendo il comando nella console PowerShell.
    Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval