Impostazioni dei criteri di autenticazione

È possibile visualizzare o personalizzare le impostazioni dei criteri di autenticazione tramite l'API e la CLI.

È importante comprendere alcuni dettagli relativi alla visualizzazione o alla modifica delle impostazioni dei criteri.

Questa funzionalità consente un solo criterio della password.
Le modifiche alla configurazione della password influiscono immediatamente sui nuovi utenti. Dopo che gli amministratori hanno aggiornato le configurazioni delle password utente esistenti, gli utenti correnti devono seguire le modifiche delle configurazioni delle password aggiornate.
L'applicazione delle modifiche alla configurazione dell'API richiede circa 20 secondi.
Per NSX Edge, le password modificate non vengono sincronizzate nel cluster. Le modifiche della CLI e dell'API vengono visualizzate in un nodo.
Il supporto del nodo di trasporto dell'appliance include BCG, Edge autonomo o appliance unificate (UA). Non è disponibile alcun supporto per le modifiche della configurazione della password del nodo di trasporto per l'amministratore locale o l'utente revisore in ESX.
Privileged Access Management (PAM) supporta l'impostazione della lunghezza minima o massima della password, ma non entrambe le impostazioni.
L'uso di numeri negativi per le voci di password imposta l'intervallo minimo, mentre i numeri positivi impostano l'intervallo massimo. Per mantenere il valore predefinito esistente, lasciare vuota la risposta.
Se modificato prima dell'aggiornamento, la configurazione del criterio della password rimane invariata per gli utenti esistenti dopo l'aggiornamento. In questo caso, NSX Manager non applica il criterio della password predefinito.

Criteri di autenticazione

[API] /api/v1/node/aaa/auth-policy

[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy

[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager include il supporto dei comandi di autenticazione e complessità della password dell'API e della CLI seguenti. Queste opzioni dei criteri della password vengono ora sincronizzate nei nodi del cluster di gestione. La visualizzazione dei dettagli della password non richiede alcuna autorizzazione. La modifica delle password predefinite esistenti richiede le autorizzazioni di amministratore.

Per ulteriori informazioni sugli intervalli dei valori predefiniti e altri dettagli, vedere Informazioni di riferimento sull'interfaccia della riga di comando NSX e Guida di NSX API.

Tabella 1. Opzioni personalizzabili dei criteri della password CLI
Opzione password	Comando CLI
Visualizza o configura configurazione complessità password	get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity È possibile modificare parametri specifici utilizzando questi argomenti: Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change):
Visualizza criterio di autenticazione	get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout
Configurazione del criterio di autenticazione	set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout

Tabella 1. Opzioni personalizzabili dei criteri della password CLI

Opzione password

Comando CLI

Visualizza o configura configurazione complessità password

get password-complexity

Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module

set password-complexity

È possibile modificare parametri specifici utilizzando questi argomenti:

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):

Visualizza criterio di autenticazione

get auth-policy cli

lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

Configurazione del criterio di autenticazione

set auth-policy cli

 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout

Tabella 2. Opzioni personalizzabili dei criteri della password API
Opzione password	Comandi API
Visualizza criterio di complessità password e di autorizzazione	get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 }
Visualizza criterio di autorizzazione VMware Identity Manager(vIDM)	get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname:
Configura criterio di autorizzazione vIDM	set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring
Configura criterio di complessità password e di autorizzazione Periodo di blocco dei tentativi di autorizzazione non riusciti dell'API (in secondi)	put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg>
Periodo di reimpostazione del blocco per errore di autenticazione	lockout_reset_period
Numero di errori consentiti prima del blocco API	max_auth_failures
Numero di caratteri numerici	digits
Algoritmo hash	hash_algorithm
Numero di caratteri minuscoli	lower_chars
Sequenza degli stessi caratteri	max_repeats
Sequenza di caratteri monotonici massima (1234 o DCBA)	max_sequence
Lunghezza massima della password	maximum_password_length
Lunghezza minima della password	minimum_password_length
Numero minimo di caratteri unici	minimum_unique_chars
Numero minimo di riutilizzo della password	password_remembrance Se 0, la verifica della password precedente è disabilitata e gli utenti possono riutilizzare qualsiasi password precedente. Predefinito. Se si immette un numero, l'utente non potrà riutilizzare tale numero di password precedenti. Se ad esempio è impostato su 2, l'utente non può riutilizzare le ultime due password.
Numero di caratteri speciali	special_chars
Numero di caratteri maiuscoli	upper_chars
Reimposta complessità password e criterio di autenticazione o entrambi	Per il nodo, i nodi di trasporto e i cluster: reset-password-complexity reset-auth-policies reset-all