Per gli host ESXi, è necessario utilizzare una password con requisiti predefiniti. È possibile modificare la lunghezza richiesta e il requisito della classe di caratteri o consentire le passphrase utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl. È inoltre possibile impostare il numero di password da ricordare per ogni utente utilizzando l'impostazione di sistema avanzata Security.PasswordHistory.
Password ESXi
ESXi impone i requisiti della password per l'accesso dall'interfaccia utente della console diretta di, dalla ESXi Shell, da SSH o dalla VMware Host Client.
- Per impostazione predefinita, quando si crea una password, è necessario includere almeno tre delle quattro classi di caratteri seguenti: lettere minuscole, lettere maiuscole, numeri e caratteri speciali.
- Per impostazione predefinita, la lunghezza della password è di almeno 7 caratteri e inferiore a 40.
- Le password non devono contenere una parola del dizionario o parte di una parola del dizionario.
- Le password non devono contenere il nome utente o le parti del nome utente.
Password ESXi di esempio
retry=3 min=disabled,disabled,disabled,7,7Con questa impostazione, a un utente viene richiesta fino a tre volte (retry=3) se una nuova password non è sufficientemente complessa o se la password non è stata immessa correttamente due volte. Le password con una o due classi di caratteri e passphrase non sono consentite, perché i primi tre elementi sono disattivati. Le password delle classi di tre e quattro caratteri richiedono sette caratteri. Vedere la pagina man di pam_passwdqc per i dettagli sulle altre opzioni, come ad esempio max, passphrase e così via.
- xQaTEhb!: contiene otto caratteri di tre classi di caratteri.
- xQaT3#A: contiene sette caratteri di quattro classi di caratteri.
- Xqat3hi: inizia con un carattere maiuscolo, riducendo il numero effettivo di classi di caratteri a due. Il numero minimo di classi di caratteri richieste è tre.
- xQaTEh2: termina con un numero, riducendo il numero effettivo di classi di caratteri a due. Il numero minimo di classi di caratteri richieste è tre.
Passphrase ESXi
Invece di una password, è possibile utilizzare anche una passphrase. Tuttavia, le passphrase sono disattivate per impostazione predefinita. È possibile modificare l'impostazione predefinita e altre impostazioni utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl da vSphere Client.
Ad esempio, è possibile modificare l'opzione come segue.
retry=3 min=disabled,disabled,16,7,7
In questo esempio sono consentite passphrase di almeno 16 caratteri e almeno tre parole.
Per gli host legacy, è ancora supportata la modifica del file /etc/pam.d/passwd, ma la modifica del file è obsoleta per le versioni future. Utilizzare invece l'impostazione di sistema avanzata Security.PasswordQualityControl.
Modifica delle restrizioni della password predefinita
È possibile modificare le limitazioni predefinite per le password o le passphrase utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl per l'host ESXi. Per informazioni sulla modifica delle impostazioni di sistema avanzate di ESXi, consultare la documentazione vCenter Server e gestione degli host.
retry=3 min=disabled,disabled,15,7,7 passphrase=4Per informazioni dettagliate, vedere la pagina man di pam_passwdqc.
Questo esempio imposta il requisito di complessità della password per richiedere otto caratteri da quattro classi di caratteri che impongono una differenza significativa di password, una cronologia ricordata di cinque password e un criterio di rotazione di 90 giorni:
min=disabled,disabled,disabled,disabled,8 similar=deny
ESXiComportamento di blocco dell'account
Il blocco dell'account è supportato per l'accesso tramite SSH e tramite vSphere Web Services SDK. L'interfaccia DCUI (Direct Console Interface) e ESXi Shell non supportano il blocco dell'account. Per impostazione predefinita, è consentito un massimo di cinque tentativi non riusciti prima che l'account venga bloccato. Per impostazione predefinita, l'account viene sbloccato dopo 15 minuti.
Configurare il comportamento di accesso
- Security.AccountLockFailures. Numero massimo di tentativi di accesso non riusciti prima che l'account di un utente venga bloccato. Zero disattiva il blocco dell'account.
- Security.AccountUnlockTime. Numero di secondi per cui un utente è rimasto bloccato.
- Security.PasswordHistory. Numero di password da ricordare per ogni utente. A partire da vSphere 8.0 Update 1, il valore predefinito è cinque. Zero disattiva la cronologia delle password.
Per informazioni sull'impostazione delle opzioni avanzate, consultare la documentazione di vCenter Server e gestione degli host ESXi.