Per gli host ESXi, è necessario utilizzare una password con requisiti predefiniti. È possibile modificare la lunghezza richiesta e il requisito della classe di caratteri o consentire le passphrase utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl. È inoltre possibile impostare il numero di password da ricordare per ogni utente utilizzando l'impostazione di sistema avanzata Security.PasswordHistory.

Nota: I requisiti predefiniti per le password di ESXi possono cambiare da una versione all'altra. È possibile controllare e modificare le limitazioni predefinite delle password utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl.

Password ESXi

ESXi impone i requisiti della password per l'accesso dall'interfaccia utente della console diretta di, dalla ESXi Shell, da SSH o dalla VMware Host Client.

  • Per impostazione predefinita, quando si crea una password, è necessario includere almeno tre delle quattro classi di caratteri seguenti: lettere minuscole, lettere maiuscole, numeri e caratteri speciali.
  • Per impostazione predefinita, la lunghezza della password è di almeno 7 caratteri e inferiore a 40.
  • Le password non devono contenere una parola del dizionario o parte di una parola del dizionario.
  • Le password non devono contenere il nome utente o le parti del nome utente.
Nota: Un carattere maiuscolo che inizia una password non viene conteggiato nel numero di classi di caratteri utilizzate. Un numero che termina una password non conta nel numero di classi di caratteri utilizzate. Una parola del dizionario utilizzata all'interno di una password riduce la complessità complessiva della password.

Password ESXi di esempio

Le seguenti password candidate illustrano le potenziali password se l'opzione è impostata come segue. 
retry=3 min=disabled,disabled,disabled,7,7
Con questa impostazione, a un utente viene richiesta fino a tre volte (retry=3) se una nuova password non è sufficientemente complessa o se la password non è stata immessa correttamente due volte. Le password con una o due classi di caratteri e passphrase non sono consentite, perché i primi tre elementi sono disattivati. Le password delle classi di tre e quattro caratteri richiedono sette caratteri. Vedere la pagina man di pam_passwdqc per i dettagli sulle altre opzioni, come ad esempio max, passphrase e così via.
Con queste impostazioni, sono consentite le seguenti password.
  • xQaTEhb!: contiene otto caratteri di tre classi di caratteri.
  • xQaT3#A: contiene sette caratteri di quattro classi di caratteri.
Le seguenti password candidate non soddisfano i requisiti.
  • Xqat3hi: inizia con un carattere maiuscolo, riducendo il numero effettivo di classi di caratteri a due. Il numero minimo di classi di caratteri richieste è tre.
  • xQaTEh2: termina con un numero, riducendo il numero effettivo di classi di caratteri a due. Il numero minimo di classi di caratteri richieste è tre.

Passphrase ESXi

Invece di una password, è possibile utilizzare anche una passphrase. Tuttavia, le passphrase sono disattivate per impostazione predefinita. È possibile modificare l'impostazione predefinita e altre impostazioni utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl da vSphere Client.

Ad esempio, è possibile modificare l'opzione come segue. 

retry=3 min=disabled,disabled,16,7,7

In questo esempio sono consentite passphrase di almeno 16 caratteri e almeno tre parole.

Modifica delle restrizioni della password predefinita

È possibile modificare le limitazioni predefinite per le password o le passphrase utilizzando l'impostazione di sistema avanzata Security.PasswordQualityControl per l'host ESXi. Per informazioni sulla modifica delle impostazioni di sistema avanzate di ESXi, consultare la documentazione vCenter Server e gestione degli host.

È possibile modificare l'impostazione predefinita, ad esempio, per richiedere un minimo di 15 caratteri e un numero minimo di quattro parole ( passphrase=4), come indicato di seguito: 
retry=3 min=disabled,disabled,15,7,7 passphrase=4
Per informazioni dettagliate, vedere la pagina man di pam_passwdqc.
Nota: Non tutte le possibili combinazioni di opzioni di password sono state testate. Eseguire il test dopo aver modificato le impostazioni della password predefinita.

Questo esempio imposta il requisito di complessità della password per richiedere otto caratteri da quattro classi di caratteri che impongono una differenza significativa di password, una cronologia ricordata di cinque password e un criterio di rotazione di 90 giorni:

min=disabled,disabled,disabled,disabled,8 similar=deny

ESXiComportamento di blocco dell'account

Il blocco dell'account è supportato per l'accesso tramite SSH e tramite vSphere Web Services SDK. L'interfaccia DCUI (Direct Console Interface) e ESXi Shell non supportano il blocco dell'account. Per impostazione predefinita, è consentito un massimo di cinque tentativi non riusciti prima che l'account venga bloccato. Per impostazione predefinita, l'account viene sbloccato dopo 15 minuti.

Configurare il comportamento di accesso

È possibile configurare il comportamento di accesso per l'host ESXi con le seguenti impostazioni di sistema avanzate:
  • Security.AccountLockFailures. Numero massimo di tentativi di accesso non riusciti prima che l'account di un utente venga bloccato. Zero disattiva il blocco dell'account.
  • Security.AccountUnlockTime. Numero di secondi per cui un utente è rimasto bloccato.
  • Security.PasswordHistory. Numero di password da ricordare per ogni utente. A partire da vSphere 8.0 Update 1, il valore predefinito è cinque. Zero disattiva la cronologia delle password.

Per informazioni sull'impostazione delle opzioni avanzate, consultare la documentazione di vCenter Server e gestione degli host ESXi.