I criteri di vCenter Single Sign-On applicano le regole di sicurezza relative agli account locali e ai token in generale. È possibile visualizzare e modificare i criteri predefiniti di vCenter Single Sign-On relativi a password, blocco e token.

Modifica del criterio password vCenter Single Sign-On

Il criterio password vCenter Single Sign-On determina il formato della password e la scadenza della password. Il criterio password si applica solo agli utenti del dominio vCenter Single Sign-On (vsphere.local).

Per impostazione predefinita, le password degli account utenti integrati in vCenter Single Sign-On scadono dopo 90 giorni. vSphere Client ricorda quando la password sta per scadere.

Vedere Modifica della propria password di vCenter Single Sign-On.
Nota: L'account dell'amministratore ([email protected]) non viene bloccato e la sua password non scade. La procedura di sicurezza corretta consiste nel controllare gli accessi da questo account e variare regolarmente la password.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di configurazione.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-On fare clic su Configurazione.
  4. Fare clic sulla scheda Account locali.
  5. Fare clic su Modifica nella riga Criterio password.
  6. Modificare il criterio password.
    Opzione Descrizione
    Descrizione Descrizione del criterio password.
    Durata massima Numero massimo di giorni di validità della password prima che l'utente debba cambiarla. Il numero massimo di giorni che è possibile inserire è 999999999. Il valore zero (0) indica che la password non scade mai.
    Limita riutilizzo Numero di password precedenti che non possono essere riutilizzate. Se ad esempio si immette 6, l'utente non può riutilizzare le ultime sei password.
    Lunghezza massima Numero massimo di caratteri consentiti nella password.
    Lunghezza minima Numero minimo di caratteri richiesti nella password. La lunghezza minima non deve essere inferiore all'insieme minimo dei caratteri numerici, alfabetici e speciali che vengono richiesti come obbligatori.
    Requisiti caratteri
    Numero minimo di caratteri diversi richiesti nella password. È possibile specificare il numero di ciascun tipo di carattere, come indicato di seguito:
    • Speciale: & # %
    • Alfabetico: A b c D
    • Maiuscolo: A B C
    • Minuscolo: a b c
    • Numerico: 1 2 3
    • Caratteri identici adiacenti: il numero deve essere maggiore di 0. Ad esempio, se si immette 1, non è consentita la password seguente: p@$$word.

    Il numero minimo di caratteri alfabetici non può essere inferiore alla somma dei caratteri maiuscoli e minuscoli.

    I caratteri non ASCII sono supportati nelle password. Nelle versioni precedenti di vCenter Single Sign-On, esistono limitazioni per i caratteri supportati.

    Nota: Il criterio della password applica il valore della lunghezza massima solo se la lunghezza minima è maggiore di 20 caratteri. Il comportamento del criterio della password non è definito o potrebbe causare un errore dei servizi quando il valore della lunghezza minima è maggiore di 20 caratteri e la lunghezza massima è impostata su qualsiasi valore. Per evitare potenziali problemi, lasciare la lunghezza minima impostata sul valore predefinito di 8 caratteri o impostarla su un valore non maggiore di 20 caratteri.
  7. Fare clic su Salva.

Modifica del criterio di blocco vCenter Single Sign-On

Se un utente tenta di accedere con credenziali errate, un criterio di blocco vCenter Single Sign-On specifica quando l'account vCenter Single Sign-On dell'utente deve essere bloccato. Gli amministratori possono modificare il criterio di blocco.

Se un utente accede più volte a vsphere.local con la password errata, l'utente viene bloccato. Il criterio di blocco consente agli amministratori di specificare il numero massimo di tentativi di accesso non riusciti e di impostare l'intervallo di tempo tra gli errori. Il criterio specifica anche il tempo che deve trascorrere prima che l'account venga sbloccato automaticamente.
Nota: Il criterio di blocco si applica solo agli account utente, non agli account di sistema come [email protected].

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di configurazione.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-On fare clic su Configurazione.
  4. Fare clic sulla scheda Account locali.
  5. Fare clic su Modifica nella riga Criterio di blocco.
    Potrebbe essere necessario scorrere verso il basso per visualizzare la riga Criterio di blocco.
  6. Modificare i parametri.
    Opzione Descrizione
    Descrizione Descrizione facoltativa del criterio di blocco.
    Numero massimo di tentativi di accesso non riusciti Numero massimo consentito di tentativi di accesso non riusciti prima che l'account venga bloccato.
    Intervallo di tempo tra errori Periodo di tempo in cui devono verificarsi tentativi di accesso non riusciti per attivare un blocco.
    Tempo di sblocco Periodo di tempo durante il quale l'account rimane bloccato. Se si immette 0, l'amministratore deve sbloccare esplicitamente l'account.
  7. Fare clic su Salva.

Modifica del criterio token vCenter Single Sign-On

Il criterio token vCenter Single Sign-On specifica proprietà del token come la tolleranza orologio e il numero di rinnovi. È possibile modificare il criterio token per assicurarsi che la specifica del token sia conforme agli standard di sicurezza della propria azienda.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di configurazione.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-On fare clic su Configurazione.
  4. Fare clic sulla scheda Account locali.
  5. Fare clic su Modifica nella riga Affidabilità token.
    Potrebbe essere necessario scorrere verso il basso per visualizzare la riga Affidabilità token.
  6. Modificare i parametri di configurazione del criterio token.
    Opzione Descrizione
    Tolleranza orologio Differenza di orario, espressa in millisecondi, che vCenter Single Sign-On tollera tra l'orologio di un client e l'orologio del controller di dominio. Se la differenza di orario è maggiore del valore specificato, vCenter Single Sign-On dichiara il token non valido.
    Numero massimo rinnovi token Numero massimo di volte per cui è possibile rinnovare un token. Dopo il numero massimo di tentativi di rinnovo, è necessario un nuovo token di sicurezza.
    Numero massimo deleghe token I token del titolare della chiave possono essere delegati ai servizi dell'ambiente vSphere. Un servizio che utilizza un token delegato esegue il servizio per conto dell'entità che ha fornito il token. Una richiesta token specifica un'identità DelegateTo. Il valore DelegateTo può essere un token della soluzione o un riferimento a un token della soluzione. Questo valore specifica quante volte è possibile delegare un singolo token del titolare della chiave.
    Durata massima token di connessione I token di connessione forniscono l'autenticazione solo in base al possesso del token. I token di connessione sono destinati ad un utilizzo a breve termine e per singola operazione. Un token di connessione non verifica l'identità dell'utente o dell'entità che sta inviando la richiesta. Questo valore specifica il valore della durata di un token di connessione prima che il token debba essere ripubblicato.
    Durata massima token del titolare della chiave I token del titolare della chiave forniscono l'autenticazione in base agli artefatti di sicurezza incorporati nel token. Per la delega è possibile utilizzare token del titolare della chiave. Un client può ottenere un token del titolare della chiave e delegare quel token a un'altra entità. Il token contiene le attestazioni per identificare l'autore e il delegato. Nell'ambiente vSphere, un sistema vCenter Server ottiene token delegati per conto di un utente e utilizza tali token per eseguire le operazioni.

    Questo valore determina la durata del token del titolare della chiave prima che il token venga contrassegnato come non valido.

  7. Fare clic su Salva.

Modifica della notifica di scadenza della password per gli utenti di Active Directory (autenticazione integrata Windows)

La notifica di scadenza della password di Active Directory è diversa dalla scadenza della password vCenter Server SSO. La notifica di scadenza della password predefinita per un utente Active Directory è di 30 giorni; ma la scadenza effettiva della password dipende dal sistema Active Directory. vSphere Client controlla la notifica di scadenza. È possibile modificare la notifica di scadenza predefinita per soddisfare gli standard di sicurezza della propria azienda.

Prerequisiti

Procedura

  1. Accedere alla shell di vCenter Server come utente con privilegi amministrativi.
    L'utente predefinito con ruolo super amministratore è root.
  2. Passare alla posizione in cui si trova il file vSphere Client webclient.properties. 
    cd /etc/vmware/vsphere-ui
  3. Aprire il file webclient.properties in un editor di testo.
  4. Modificare la variabile seguente. 
    sso.pending.password.expiration.notification.days = 30
  5. Riavviare vSphere Client. 
    service-control --stop vsphere-ui
service-control --start vsphere-ui