Come misura di sicurezza è possibile ruotare le password per i componenti dell'istanza di VMware Cloud Foundation. Il processo di rotazione delle password genera password casuali per gli account selezionati. È possibile ruotare manualmente le password o configurare la rotazione automatica per gli account gestiti da SDDC Manager.

È possibile ruotare le password per i seguenti account.

  • VxRail Manager
  • ESXi
    Nota: La rotazione automatica non è supportata per ESXi.
  • vCenter Server

    Per impostazione predefinita, la password root di vCenter Server scade dopo 90 giorni.

    Nota: La rotazione automatica viene abilitata automaticamente per gli account di servizio di vCenter Server. La configurazione del criterio di rotazione automatica dell'account di servizio per un vCenter Server appena distribuito può richiedere fino a 24 ore.
  • Single Sign-On vSphere (PSC)
  • Nodi NSX Edge
  • NSX Manager
  • VMware Avi Load Balancer (in precedenza denominato NSX Advanced Load Balancer)
  • VMware Aria Suite Lifecycle
  • VMware Aria Operations for Logs
  • VMware Aria Operations
  • VMware Aria Automation
  • Workspace ONE Access
    Nota: Per le password di Workspace ONE Access il metodo di rotazione delle password varia in base all'account utente. Per ulteriori informazioni, vedere la tabella seguente.
  • Utente backup di SDDC Manager
Tabella 1. Dettagli della rotazione della password per l'account utente Workspace ONE Access

Account utente Workspace ONE Access

Accesso a VMware Aria Suite Lifecycle Locker

Metodo di rotazione password

Ambito rotazione password

amministratore (443)

xint-wsa-admin

Rotazione password SDDC Manager

Applicazione

amministratore (8443)

xint-wsa-admin

Ambiente globale VMware Aria Suite Lifecycle

Per nodo

configadmin (443)

xint-wsa-configadmin

  1. Reimpostare la password dell'utente configadmin in Workspace ONE Access tramite il collegamento di reimpostazione inviato tramite e-mail.
  2. Creare un nuovo oggetto credenziali in VMware Aria Suite Lifecycle Locker in modo che corrisponda alla nuova password.
  3. Aggiornare l'oggetto credenziali a cui globalEnvironment fa riferimento in VMware Aria Suite Lifecycle Locker sostituendolo con il nuovo oggetto credenziali.

Applicazione

sshuser

global-env-admin

Ambiente globale VMware Aria Suite Lifecycle

Per nodo

root (ssh)

xint-wsa-root

Rotazione password SDDC Manager

Per nodo

Il criterio delle password predefinito per le password ruotate richiede:
  • 20 caratteri
  • Almeno una lettera maiuscola, un numero e uno dei seguenti caratteri speciali: ! @ # $ $ *
  • Non più di due caratteri uguali consecutivi

Se si modifica la lunghezza della password di vCenter Server tramite vSphere Client o la lunghezza della password di ESXi tramite VMware Host Client, la rotazione delle password per tali componenti da SDDC Manager genera una password conforme alla lunghezza specificata.

Per aggiornare la password root, la password dell'utente con privilegi avanzati e la password dell'API di SDDC Manager, vedere Aggiornamento delle password di SDDC Manager.

Prerequisiti

  • Verificare che al momento non siano presenti workflow non riusciti in SDDC Manager. Per verificare la presenza di workflow non riusciti, fare clic su Dashboard nel riquadro di navigazione ed espandere il riquadro Attività nella parte inferiore della pagina.
  • Verificare che non siano presenti workflow attivi in esecuzione o pianificati per l'esecuzione durante il breve periodo di tempo in cui viene eseguito il processo di rotazione delle password. È consigliabile pianificare la rotazione delle password in un momento in cui non sono in esecuzione workflow.
  • Solo un utente con il ruolo ADMIN può eseguire questa attività.

Procedura

  1. Nel riquadro di navigazione, fare clic su Sicurezza > Gestione password.
  2. Selezionare uno o più account e fare clic su una delle operazioni seguenti.
    • Ruota ora
    • Pianifica rotazione
      È possibile impostare l'intervallo di rotazione della password (30 giorni, 60 giorni o 90 giorni). È inoltre possibile disattivare la pianificazione.
      Nota: L'opzione Pianifica rotazione non è disponibile per ESXi.
      Nota: La rotazione automatica è configurata per essere eseguita a mezzanotte della data pianificata. Se la rotazione automatica non può essere avviata a causa di un problema tecnico, è possibile impostarla in modo che venga riprovata automaticamente ogni ora fino all'inizio del giorno successivo. Se la rotazione della pianificazione non viene eseguita a causa di problemi tecnici, nell'interfaccia utente viene visualizzata una notifica globale che indica che l'attività non è riuscita. Lo stato della rotazione della pianificazione può essere controllato anche nel pannello Attività.
    Nella parte superiore della pagina viene visualizzato un messaggio che indica lo stato di avanzamento dell'operazione. Anche il pannello Attività mostra lo stato dettagliato dell'operazione di rotazione delle password. Per visualizzare le attività secondarie fare clic sul nome dell'attività. Man mano che ciascuna di queste attività viene eseguita, lo stato viene aggiornato. Se l'attività non riesce, è possibile fare clic su Riprova.

risultati

La rotazione delle password viene completata quando tutte le attività secondarie vengono completate correttamente.