セキュリティ対策として、VMware Cloud Foundation インスタンス内のコンポーネントのパスワードをローテーションできます。パスワード ローテーションのプロセスでは、選択したアカウントに対してランダム化されたパスワードが生成されます。SDDC Manager によって管理されるアカウントのパスワードを手動でローテーションしたり、自動ローテーションを設定したりすることができます。

次のアカウントのパスワードをローテーションできます。

  • ESXi
    注: 自動ローテーションは、ESXi ではサポートされません。
  • vCenter Server

    デフォルトでは、vCenter Server の root パスワードは 90 日後に有効期限が切れます。

    注: 自動ローテーションは、vCenter Server サービス アカウントに対して自動的に有効になります。新しく展開された vCenter Server のサービス アカウント自動ローテーション ポリシーを構成するには、最大 24 時間かかることがあります。
  • vSphere Single Sign-On (PSC)
  • NSX Edge ノード
  • NSX Manager
  • vRealize Suite Lifecycle Manager
  • vRealize Log Insight
  • vRealize Operations
  • vRealize Automation
  • Workspace ONE Access
    注: Workspace ONE Access パスワードの場合、パスワードのローテーション方法はユーザー アカウントによって異なります。詳細については、次の表を参照してください。
  • SDDC Manager バックアップ ユーザー
表 1. Workspace ONE Access ユーザー アカウントのパスワード ローテーションの詳細

Workspace ONE Access ユーザー アカウント

vRealize Suite Lifecycle Manager Locker エントリ

パスワードのローテーション方法

パスワードのローテーションの範囲

admin (443)

xint-wsa-admin

SDDC Manager パスワードのローテーション

アプリケーション

admin (8443)

xint-wsa-admin

vRealize Suite Lifecycle Manager グローバル環境

ノード単位

configadmin (443)

xint-wsa-configadmin

  1. E メールのリセット リンクを使用して、Workspace ONE Access の configadmin ユーザー パスワードをリセットします。
  2. 新しいパスワードと一致するように、vRealize Suite Lifecycle Manager Locker に新しい認証情報オブジェクトを作成します。
  3. vRealize Suite Lifecycle Manager Locker で globalEnvironment によって参照される認証情報オブジェクトを新しい認証情報オブジェクトに更新します。

アプリケーション

sshuser

global-env-admin

vRealize Suite Lifecycle Manager グローバル環境

ノード単位

root (ssh)

xint-wsa-root

SDDC Manager パスワードのローテーション

ノード単位

ローテーションされたパスワードのデフォルトのパスワード ポリシーの要件は次のとおりです。
  • 長さ 20 文字
  • 少なくとも 1 つの大文字、1 つの数字、さらに ! @ # $ ^ * の特殊文字の 1 つ
  • 同じ文字が連続して 2 文字以下

vSphere Client を使用して vCenter Server パスワードの長さを変更したり、VMware Host Client を使用して ESXi パスワードの長さを変更した場合、SDDC Manager からこれらのコンポーネントのパスワードをローテーションすると、指定したパスワードの長さに準拠するパスワードが生成されます。

SDDC Manager の root ユーザー、スーパー ユーザー、および API のパスワードを更新する場合は、SDDC Manager のパスワードの更新を参照してください。

前提条件

  • SDDC Manager 内に現在失敗しているワークフローがないことを確認します。失敗したワークフローを確認するには、ナビゲーション ペインで [ダッシュボード] をクリックし、画面の下部にある [タスク] ペインを展開します。
  • パスワード ローテーションのプロセスが実行されている短い時間の間に、アクティブなワークフローが実行されていないこと、または実行がスケジュール設定されていないことを確認します。パスワードのローテーションは、実行中のワークフローがないことが予想される時間に行うようにスケジュール設定することをお勧めします。
  • このタスクを実行できるのは、管理者ロールを持つユーザーのみです。

手順

  1. ナビゲーション ペインで、[セキュリティ] > [パスワード管理] の順にクリックします。
  2. パスワードをローテーションするアカウントを含むコンポーネントのタブをクリックします。
    ESXi アカウントのパスワード管理オプション。
    たとえば、 [ESXi] を選択します。
  3. 1 つ以上のアカウントを選択し、次のいずれかの操作をクリックします。
    • [今すぐローテーション]
    • [ローテーションのスケジュール設定]
      パスワードのローテーション間隔(30 日、60 日、または 90 日)を設定できます。スケジュールを無効にすることもできます。
      注: 自動ローテーション スケジュールは、スケジュール設定された日付の午前 0 時に実行するように構成されます。技術的な問題が原因で自動ローテーションを開始できなかった場合は、次の日の開始まで 1 時間ごとに自動再試行するプロビジョニングがあります。技術的な問題が原因でスケジュール設定されたローテーションが失敗した場合、ユーザー インターフェイスにタスクの失敗ステータスを示すグローバル通知が表示されます。スケジュール設定されたローテーションのステータスは、[タスク] パネルで確認することもできます。
    操作の進行状況を示すメッセージが画面の上部に表示されます。[タスク] パネルには、パスワードのローテーション操作の詳細なステータスも表示されます。サブタスクを表示するには、タスク名をクリックします。タスクが実行されると、そのステータスが更新されます。タスクが失敗した場合は、 [再試行] をクリックします。

結果

すべてのサブタスクが正常に完了すると、パスワードのローテーションは終了します。