VMware Cloud Foundation でのパスワード複雑性ポリシーの構成

パスワード複雑性ポリシーは、アカウントのパスワード定義の最小要件を定義します。設定は、VMware Cloud Foundation インスタンスのアカウントタイプおよびコンポーネントによって異なります。


管理コンポーネント	パスワード複雑性の設定	範囲
ESXi	最小文字数小文字の最小数大文字の最小数数字の最小数特殊文字の最小数再利用前の一意のパスワードの最小数	ローカルユーザー
vCenter Single Sign-On	最小文字数最大文字数アルファベット文字の最小数小文字の最小数大文字の最小数数字の最小数特殊文字の最小数連続する同一文字の最大数再利用前の一意のパスワードの最小数	vCenter Single Sign-On ドメイン
vCenter Server	最小文字数小文字の最小数大文字の最小数数字の最小数特殊文字の最小数再利用前の一意のパスワードの最小数	ローカルユーザー
NSX Manager	最小文字数小文字の最小数大文字の最小数数字の最小数特殊文字の最小数古いパスワードとは異なる文字の最小数	ローカルユーザー
NSX Edge	最小文字数小文字の最小数大文字の最小数数字の最小数特殊文字の最小数古いパスワードとは異なる文字の最小数	ローカルユーザー
SDDC Manager	最小文字数小文字の最小数大文字の最小数数字の最小数特殊文字の最小数古いパスワードとは異なる文字の最小数再利用前の一意のパスワードの最小数	ローカルユーザー

前提条件

パスワードポリシー構成の前提条件を参照してください。

ESXi のローカルユーザーパスワード複雑性ポリシーの構成

必要なパスワードの長さ、文字クラスの要件、パスフレーズの許可など、VMware Cloud Foundation の ESXi ホストのローカルユーザーパスワードの要件を定義します。


設定	デフォルト値
Security.PasswordHistory	0
Security.PasswordQualityControl	retry=3 min=disabled,disabled,disabled,7,7

Security.PasswordQualityControl 設定の形式の詳細については、『vSphere セキュリティ』ドキュメントのESXi のパスワードとアカウントのロックアウトを参照してください。

ユーザーインターフェイスの手順

ワークロードドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
[ホストおよびクラスタ] インベントリで、最初の vSphere クラスタに移動して展開します。
最初の ESXi ホストを選択し、[設定] タブをクリックします。
[システム] セクションで、[システムの詳細設定] をクリックします。
[システムの詳細設定] 画面で、[編集] をクリックします。
キーフィルタテキストボックスに「Security.PasswordHistory」と入力し、組織の要件に従って設定を構成します。
キーフィルタテキストボックスに「Security.PasswordQualityControl」と入力し、組織の要件に応じて設定の値を入力して、[OK] をクリックします。
クラスタの残りのすべてのホストでこの手順を繰り返します。
ワークロードドメインのすべての残りのクラスタでこの手順を繰り返します。
他のすべてのワークロードドメインとそのクラスタでこの手順を繰り返します。

PowerShell の手順

PowerShell を起動します。

サンプルコードの値を置き換え、PowerShell コンソールでコマンドを実行します。

$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"
$cluster = "sfo-m01-cl01"

$policy = "retry=3 min=disabled,disabled,disabled,7,7”
$history = "3"

PowerShell コンソールでコマンドを実行して、構成を実行します。

Update-EsxiPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -policy $policy -history $history

$sddcDomainName ワークロードドメインのすべての残りのクラスタでこの手順を繰り返します。
残りのワークロードドメインにあるすべてのクラスタでこの手順を繰り返します。

vCenter Single Sign-On のパスワード複雑性ポリシーの構成

VMware Cloud Foundation の vCenter Single Sign-On の組み込み ID プロバイダのパスワード形式要件を定義します。

パスワード複雑性ポリシーは、vCenter Single Sign-On の組み込み ID プロバイダの vsphere.local ドメイン内のユーザーアカウントにのみ適用されます。このポリシーは、ローカルシステムアカウントおよび [email protected] には適用されません。


設定	デフォルト値
再利用を制限	5
最大文字数	20
最小文字数	8
特殊文字	1
アルファベット文字	2
大文字	1
小文字	1
数字	1
隣接した同一文字	1

ユーザーインターフェイスの手順

ワークロードドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
vSphere Client メニューから、[管理] を選択します。
[シングルサインオン] セクションで、[構成] をクリックします。
[構成] 画面で、[ローカルアカウント] タブをクリックします。
[パスワードポリシー] セクションで、[編集] をクリックします。
組織の要件に応じて設定を変更し、[保存] をクリックします。

PowerShell の手順

PowerShell を起動します。

サンプルコードの値を置き換え、PowerShell コンソールでコマンドを実行します。

$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$minLength = "8"
$maxLength = "20"
$minAlphabetic = "2"
$minLowercase = "1"
$minUppercase = "1"
$minNumerical = "1"
$minSpecial = "1"
$maxIdenticalAdjacent = "1"
$history = "5"

PowerShell コンソールでコマンドを実行して、構成を実行します。

Update-SsoPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -maxLength $maxLength -minAlphabetic $minAlphabetic -minLowercase $minLowercase -minUppercase $minUppercase -minNumeric $minNumerical -minSpecial $minSpecial -maxIdenticalAdjacent $maxIdenticalAdjacent -history $history

vCenter Server のローカルユーザーパスワード複雑性ポリシーの構成

root アカウントなど、VMware Cloud Foundation の vCenter Server アプライアンスのローカルユーザーのパスワード形式要件を定義します。


設定	デフォルト値	説明
minlen	6	パスワードの最小長
lcredit	-1	クレジットを生成する小文字の最大数
ucredit	-1	クレジットを生成する大文字の最大数
dcredit	-1	クレジットを生成する最大桁数
ocredit	-1	クレジットを生成するその他の文字の最大数
difok	4	古いパスワードと異なる必要がある最小文字数
remember	5	システムが記憶するパスワードの最大数

ユーザーインターフェイスの手順

SSH を使用してワークロードドメインの vCenter Server Appliance に root としてログインします。
シェルアクセスを有効にします。
```
shell
```
次のコマンドを使用して、アプライアンスのパスワード要件をバックアップします。
```
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
```

vCenter Server ローカルユーザーのパスワード要件を構成するためのすべての設定が /etc/pam.d/system-password ファイルに追加されていることを確認します。

# Begin /etc/pam.d/system-password

# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
password  requisite   pam_pwquality.so  dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root
password  required    pam_pwhistory.so  remember=5 retry=3 enforce_for_root use_authtok
password  required    pam_unix.so       sha512 use_authtok shadow try_first_pass
# End /etc/pam.d/system-password

/etc/pam.d/system-password ファイルに一部の設定がない場合は、手動で追加します。

必要なすべての設定を /etc/pam.d/system-password ファイルに追加したら、次のコマンドを使用して、組織の要件に応じて値を設定します。

sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-passwords
sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password

残りのワークロードドメインの vCenter Server インスタンスでこの手順を繰り返します。

PowerShell の手順

Windows PowerShell を起動します。

サンプルコードの値を置き換え、PowerShell コンソールでコマンドを実行します。

$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$minLength = "6"
$minLowercase = "-1"
$minUppercase = "-1"
$minNumeric = "-1"
$minSpecial = "-1"
$minUnique = "4"
$history = "5"

PowerShell コンソールでコマンドを実行して、構成を実行します。

Update-VcenterPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumeric -minSpecial $minSpecial -minUnique $minUnique -history $history

すべての VI ワークロードドメインでこの手順を繰り返します。

NSX Manager のローカルユーザーパスワード複雑性ポリシーの構成

VMware Cloud Foundation の NSX Manager アプライアンスのローカルユーザーのパスワード形式要件を定義します。


設定	デフォルト値	説明
minlen	12	パスワードの最小長注：パスワードポリシーでパスワードの最小長を 20 より大きい値に設定する必要がある場合、SDDC Manager でパスワードローテーションを使用することはできません。
lcredit	-1	クレジットを生成する小文字の最大数
ucredit	-1	クレジットを生成する大文字の最大数
dcredit	-1	クレジットを生成する最大桁数
ocredit	-1	クレジットを生成するその他の文字の最大数
difok	0	古いパスワードと異なる必要がある最小文字数
MAX_PASSWORD_LEN	128	パスワードの最大文字数
maxrepeat	0	許可される連続する文字の最大数
maxsequence	0	1 つの文字を繰り返す最大回数
remember	0	システムが記憶するパスワードの最大数
hash_algorithm	sha512	ハッシュアルゴリズム

ユーザーインターフェイスの手順

vCenter Server (https://<vcenter_server_fqdn>/ui) に [email protected] としてログインします。
管理ドメインの NSX Manager クラスタを含む仮想マシンフォルダを展開します。
NSX Manager クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。
NSX Manager ノードに admin としてログインします。
set password-complexity コマンドを実行して、パスワード複雑性ポリシーの変更を開始します。

プロンプトで、組織の要件に応じて、パスワードの複雑さに関する設定をインタラクティブに設定します。

Minimum password length (leave empty to not change): <your_value>
Maximum password length (leave empty to not change): <your_value>
Lower characters (leave empty to not change): <your_value>
Upper characters (leave empty to not change): <your_value>
Numeric characters (leave empty to not change): <your_value>
Special characters (leave empty to not change): <your_value>
Minimum unique characters (leave empty to not change): <your_value>
Allowed similar consecutives (leave empty to not change): <your_value>
Allowed monotonic sequence (leave empty to not change): <your_value>
Hash algorithm (leave empty to not change): <your_value>
Password remembrance (leave empty to not change): <your_value>

管理ドメインの残りの NSX ローカルマネージャノードでこの手順を繰り返します。
すべての VI ワークロードドメインの NSX ローカルマネージャクラスタでこの手順を繰り返します。
すべての NSX グローバルマネージャノードでこの手順を繰り返します。

PowerShell の手順

PowerShell を起動します。

サンプルコードの値を置き換え、PowerShell コンソールでコマンドを実行します。

$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$minLength = "12"
$minLowercase = "-1"
$minUppercase = "-1"
$minNumerical = "-1"
$minSpecial = "-1"
$minUnique = "0"
$maxLength = "128"
$maxRepeats = "0"
$maxSequence = "0"
$history = "0"
$hashAlgorithm = "sha512"

PowerShell コンソールでコマンドを実行して、構成を実行します。

Update-NsxtManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxLength $maxLenth -maxRepeats $maxRepeats -maxSequence $maxSequence -history $history -hash_algorithm $hashAlgorithm

すべての VI ワークロードドメインの NSX ローカルマネージャクラスタでこの手順を繰り返します。
各ノードのアプライアンスコンソールで、すべての NSX グローバルマネージャクラスタのパスワード複雑性ポリシーを手動で構成します。

NSX Edge のローカルユーザーパスワード複雑性ポリシーの構成

VMware Cloud Foundation の NSX Edge アプライアンスのローカルユーザーのパスワード形式要件を定義します。


設定	デフォルト値	説明
minlen	15	パスワードの最小長注：パスワードポリシーでパスワードの最小長を 20 より大きい値に設定する必要がある場合、SDDC Manager でパスワードローテーションを使用することはできません。
lcredit	-1	クレジットを生成する小文字の最大数
ucredit	-1	クレジットを生成する大文字の最大数
dcredit	-1	クレジットを生成する最大桁数
ocredit	-1	クレジットを生成するその他の文字の最大数
difok	0	古いパスワードと異なる必要がある最小文字数
retry	3	再試行の最大回数

ユーザーインターフェイスの手順

NSX Edge 仮想アプライアンスを構成する場合は、vSphere Client の Web コンソールを使用してアプライアンスコンソールを開きます。
1. ワークロードドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
2. [仮想マシンおよびテンプレート] インベントリで、ワークロードドメインの NSX Edge クラスタを含む仮想マシンフォルダに移動して展開します。
3. NSX Edge クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。
ベアメタル NSX Edge アプライアンスを構成する場合は、iLO や iDRAC などのアウトオブバンド管理インターフェイスを使用してアプライアンスコンソールを開きます。
NSX Edge ノードに root としてログインします。
次のコマンドを使用して、アプライアンスのパスワード要件をバックアップします。
```
cp -p /etc/pam.d/common-password /etc/pam.d/common-password-`date +%F_%H:%M:%S`.back
```

SDDC Manager ユーザーのパスワード要件を構成するためのすべての設定が /etc/pam.d/common-password ファイルに追加されていることを確認します。

#
# /etc/pam.d/common-password - password-related modules common to all services
#

# here are the per-package modules (the "Primary" block)
password requisite pam_cracklib.so retry=3 minlen=12 difok=0 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password required pam_pwhistory.so use_authtok enforce_for_root remember=0
password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

/etc/pam.d/common-password ファイルに一部の設定がない場合は、手動で追加します。

次のコマンドを使用して、組織の要件に応じてこれらの設定を行います。

sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/common-password
sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/common-password
sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/common-password
sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/common-password
sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/common-password
sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/common-password
sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/common-password

ワークロードドメイン内の残りの NSX Edge クラスタノードでこの手順を繰り返します。
残りのワークロードドメインのすべての NSX Edge クラスタでこの手順を繰り返します。

PowerShell の手順

PowerShell コマンドを使用してパスワード複雑性ポリシーを構成できるのは、SDDC Manager を使用して展開された VMware Cloud Foundation の NSX Edge ノードのみです。手動で展開された NSX Edge 仮想アプライアンス、ベアメタル NSX Edge アプライアンスの場合は、NSX のドキュメントに従ってポリシーを手動で構成します。

PowerShell を起動します。

サンプルコードの値を置き換え、PowerShell コンソールでコマンドを実行します。

$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

$sddcDomainName = "sfo-m01"

$minLength = "15"
$minLowercase = "-1"
$minUppercase = "-1"
$minNumerical = "-1"
$minSpecial = "-1"
$minUnique = "0"
$maxRetry = "3"

PowerShell コンソールでコマンドを実行して、構成を実行します。

Update-NsxtEdgePasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -maxRetry $maxRetry

残りのワークロードドメインのすべての NSX Edge クラスタでこの手順を繰り返します。

SDDC Manager のローカルユーザーパスワード複雑性ポリシーの構成

SDDC Manager アプライアンスのローカルユーザーのパスワード形式の要件を定義します。


設定	デフォルト値	説明
minlen	15	パスワードの最小長
lcredit	-1	クレジットを生成する小文字の最大数
ucredit	-1	クレジットを生成する大文字の最大数
dcredit	-1	クレジットを生成する最大桁数
ocredit	-1	クレジットを生成するその他の文字の最大数
minclass	4	使用する必要がある文字タイプ（大文字、小文字、数字、その他）の最小数
difok	4	古いパスワードと異なる必要がある最小文字数
retry	3	再試行の最大回数
maxsequence	0	1 つの文字を繰り返す最大回数
remember	5	システムが記憶するパスワードの最大数

ユーザーインターフェイスの手順

SSH を使用して SDDC Manager アプライアンスに vcf としてログインします。
root ユーザーに変更します。
```
su -
```
次のコマンドを使用して、パスワード要件をバックアップします。
```
cp -p /etc/pam.d/system-password /etc/pam.d/system-password-`date +%F_%H:%M:%S`.back
```

SDDC Manager ユーザーのパスワード要件を構成するためのすべての設定が /etc/pam.d/system-password ファイルに追加されていることを確認します。

# Begin /etc/pam.d/system-password

password   required pam_pwhistory.so remember=5 retry=5 enforce_for_root use_authtok
password   required pam_pwquality.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=7 difok=4 minclass=4 maxsequence=0 enforce_for_root
password   required pam_unix.so sha512 shadow use_authtok

# End /etc/pam.d/system-password

/etc/pam.d/system-password ファイルに一部の設定がない場合は、手動で追加します。

必要なすべての設定を /etc/pam.d/system-password ファイルに追加したら、次のコマンドを使用して、組織の要件に応じて値を設定します。

sed -i -E 's/dcredit=[-]?[0-9]+/dcredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/ucredit=[-]?[0-9]+/ucredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/lcredit=[-]?[0-9]+/lcredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/ocredit=[-]?[0-9]+/ocredit=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/minlen=[-]?[0-9]+/minlen=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/difok=[-]?[0-9]+/difok=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/retry=[-]?[0-9]+/retry=<your_value>/g' /etc/pam.d/system-password
sed -i -E 's/remember=[-]?[0-9]+/remember=<your_value>/g' /etc/pam.d/system-password

PowerShell の手順

PowerShell を起動します。

サンプルコードの値を置き換え、PowerShell コンソールでコマンドを実行します。

$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"

# Replace with the name of your management domain
$sddcDomainName = "sfo-m01"

$rootPass = "VMw@re1!"
$minLength = "15"
$minLowercase = "-1"
$minUppercase = "-1"
$minNumerical = "-1"
$minSpecial = "-1"
$minUnique = "4"
$minClass = "4"
$maxSequence = "0"
$history = "5"
$maxRetry = "3"

PowerShell コンソールでコマンドを実行して、構成を実行します。

Update-SddcManagerPasswordComplexity -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -minLength $minLength -minLowercase $minLowercase -minUppercase $minUppercase -minNumerical $minNumerical -minSpecial $minSpecial -minUnique $minUnique -minClass $minClass -maxSequence $maxSequence -history $history -maxRetry $maxRetry

前提条件

ESXi のローカル ユーザー パスワード複雑性ポリシーの構成

ユーザー インターフェイスの手順

PowerShell の手順

vCenter Single Sign-On のパスワード複雑性ポリシーの構成

ユーザー インターフェイスの手順

PowerShell の手順

vCenter Server のローカル ユーザー パスワード複雑性ポリシーの構成

ユーザー インターフェイスの手順

PowerShell の手順

NSX Manager のローカル ユーザー パスワード複雑性ポリシーの構成

ユーザー インターフェイスの手順

PowerShell の手順

NSX Edge のローカル ユーザー パスワード複雑性ポリシーの構成

ユーザー インターフェイスの手順

PowerShell の手順

SDDC Manager のローカル ユーザー パスワード複雑性ポリシーの構成

ユーザー インターフェイスの手順

PowerShell の手順

ESXi のローカルユーザーパスワード複雑性ポリシーの構成

ユーザーインターフェイスの手順

ユーザーインターフェイスの手順

vCenter Server のローカルユーザーパスワード複雑性ポリシーの構成

ユーザーインターフェイスの手順

NSX Manager のローカルユーザーパスワード複雑性ポリシーの構成

ユーザーインターフェイスの手順

NSX Edge のローカルユーザーパスワード複雑性ポリシーの構成

ユーザーインターフェイスの手順

SDDC Manager のローカルユーザーパスワード複雑性ポリシーの構成

ユーザーインターフェイスの手順