アカウント ロックアウト ポリシーは、システムへの認証に誤った認証情報が使用された場合のシステムの動作を定義します。設定は、VMware Cloud Foundation インスタンスのアカウント タイプおよびコンポーネントによって異なります。
管理コンポーネント | アカウント ロックアウト設定 | 範囲 |
---|---|---|
ESXi |
|
ローカル ユーザー |
vCenter Single Sign-On |
|
vCenter Single Sign-On ドメイン |
vCenter Server |
|
ローカル ユーザー |
NSX Manager |
|
ローカル ユーザー |
NSX Edge |
|
ローカル ユーザー |
SDDC Manager |
|
ローカル ユーザー |
前提条件
パスワード ポリシー構成の前提条件を参照してください。
ESXi のローカル アカウント ロックアウト ポリシーの構成
ログイン試行の最大失敗回数と、VMware Cloud Foundation の ESXi ホスト上のローカル アカウントが自動的にロック解除されるまでの時間を設定します。
設定 |
デフォルト値 |
---|---|
Security.AccountLockFailures |
5 |
Security.AccountUnlockTime |
900 |
ユーザー インターフェイスの手順
- ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
[ホストおよびクラスタ] インベントリで、最初の vSphere クラスタに移動して展開します。
最初の ESXi ホストを選択し、[設定] タブをクリックします。
[システム] セクションで、[システムの詳細設定] をクリックします。
[システムの詳細設定] 画面で、[編集] をクリックします。
キー フィルタ テキスト ボックスに「Security.AccountLockFailures」と入力し、組織の要件に応じて値を入力します。
キー フィルタ テキスト ボックスに「Security.AccountUnlockTime」と入力し、組織の要件に応じて値を入力して、[OK] をクリックします。
クラスタの残りのホストでこの手順を繰り返します。
ワークロード ドメイン内の残りのクラスタでこの手順を繰り返します。
残りのワークロード ドメインのすべてのクラスタでこの手順を繰り返します。
PowerShell の手順
PowerShell を起動します。
サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $maxFailures = "5" $unlockInterval = "900"
PowerShell コンソールでコマンドを実行して、構成を実行します。
Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval
$sddcDomainName
ワークロード ドメインのすべての残りのクラスタでこの手順を繰り返します。残りのワークロード ドメインのすべてのクラスタでこの手順を繰り返します。
vCenter Single Sign-On のアカウント ロックアウト ポリシーの構成
VMware Cloud Foundation の vsphere.local ドメイン内のユーザー アカウントのログイン試行の最大失敗回数と失敗間隔を設定します。アカウントのロックが自動的に解除されるまでの時間も設定します。
設定 | デフォルト値 |
---|---|
ログイン試行の最大失敗回数 | 5 |
失敗した試行の時間間隔 | 180 秒 |
ロック解除時間 | 900 秒 |
ユーザー インターフェイスの手順
- ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- vSphere Client メニューから、[管理] を選択します。
- [シングル サインオン] セクションで、[構成] をクリックします。
- [構成] ページで、[ローカル アカウント] タブをクリックします。
- [ロックアウト ポリシー] セクションで、[編集] をクリックします。
- 組織の要件に応じて設定の値を入力し、[保存] をクリックします。
PowerShell の手順
- PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $failureAttemptInterval = "180" $unlockInterval = "900"
- PowerShell コンソールでコマンドを実行して、構成を実行します。
Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval
vCenter Server の root ユーザー アカウント ロックアウト ポリシーの構成
VMware Cloud Foundation の vCenter Server アプライアンスの root ローカル アカウントに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。
設定 |
デフォルト値 |
---|---|
ログイン試行の最大失敗回数 |
3 |
root のロック解除時間 |
300 秒 |
ロック解除時間 |
900 秒 |
ユーザー インターフェイスの手順
SSH を使用して vCenter Server アプライアンスに root としてログインします。
シェル アクセスを有効にします。
shell
次のコマンドを使用して、アプライアンスの認証要件をバックアップします。
cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back
root ユーザーのアカウント ロックアウト ポリシーを構成するためのすべての設定が /etc/security/faillock.conf ファイルに追加されていることを確認します。
/etc/security/faillock.conf ファイルに一部のプロパティがない場合は、手動で追加します。
dir = /var/log/faillock audit silent deny = 3 unlock_time = 1200 even_deny_root root_unlock_time = 300 fail_interval = 900
- root ユーザー アカウントのロックアウト ポリシーを構成するには、/etc/security/faillock.conf ファイルで、組織の要件に応じて次のプロパティに値を設定し、ファイルを保存します。
設定 /etc/security/faillock.conf のプロパティ 試行失敗回数の上限 拒否 root ユーザー アカウントのロック解除時間 root_unlock_time すべてのローカル アカウントのロック解除時間 unlock_time ワークロード ドメインの vCenter Server ごとにこの手順を繰り返します。
PowerShell の手順
PowerShell を起動します。
サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $rootUnlockInterval = "300" $unlockInterval = "900"
PowerShell コンソールでコマンドを実行して、構成を実行します。
Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval
ワークロード ドメインの vCenter Server ごとにこの手順を繰り返します。
NSX Manager のローカル ユーザー アカウント ロックアウト ポリシーの構成
VMware Cloud Foundation の NSX Manager アプライアンスのローカル ユーザーに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。
方法 |
設定 |
デフォルト値 |
---|---|---|
API |
max-auth-failures |
5 |
lockout-reset-period |
180 秒 |
|
ロックアウト期間 |
900 秒 |
|
CLI |
max-auth-failures |
5 |
ロックアウト期間 |
900 秒 |
ユーザー インターフェイスの手順
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に 管理者権限を持つアカウントを使用してログインします。
- [仮想マシンおよびテンプレート] インベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
NSX Manager クラスタを含む仮想マシン フォルダを展開します。
NSX Manager クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。
NSX Manager ノードに admin としてログインします。
組織の要件に従って、NSX Manager ユーザー インターフェイスにログインしたり、API 要求を行ったりするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。
set auth-policy api lockout-period <lockout-period> set auth-policy api lockout-reset-period <lockout-reset-period> set auth-policy api max-auth-failures <auth-failures>
組織の要件に従って NSX CLI にログインするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。
set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
管理ドメインの残りの NSX ローカル マネージャ ノードでこの手順を繰り返します。
すべての VI ワークロード ドメインの NSX ローカル マネージャ ノードでこの手順を繰り返します。
すべての NSX グローバル マネージャ クラスタでこの手順を繰り返します。
PowerShell の手順
PowerShell を起動します。
サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900" $apiMaxFailures = "5" $apiUnlockInterval = "900" $apiFailureInterval = "180"
PowerShell コンソールでコマンドを実行して、構成を実行します。
Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval
VI ワークロード ドメインのすべての NSX ローカル マネージャ クラスタでこの手順を繰り返します。
- 各ノードのアプライアンス コンソールで、すべての NSX グローバル マネージャ クラスタのアカウント ロックアウト ポリシーを手動で構成します。
NSX Edge のローカル ユーザー アカウント ロックアウト ポリシーの構成
VMware Cloud Foundation の NSX Edge アプライアンスのローカル ユーザーに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。
方法 |
設定 |
デフォルト値 |
---|---|---|
CLI |
max-auth-failures |
5 |
ロックアウト期間 |
900 秒 |
ユーザー インターフェイスの手順
NSX Edge 仮想アプライアンスを構成する場合は、vSphere Client の Web コンソールを使用してアプライアンス コンソールを開きます。
- ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
[仮想マシンおよびテンプレート] インベントリで、NSX Edge クラスタを含む仮想マシン フォルダに移動して展開します。
NSX Edge クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。
ベアメタル NSX Edge アプライアンスを構成する場合は、iLO や iDRAC などのアウトオブバンド管理インターフェイスを使用してアプライアンス コンソールを開きます。
NSX Edge ノードに admin としてログインします。
組織の要件に従って NSX CLI にログインするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。
set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
ワークロード ドメインの残りの NSX Edge ノードでこの手順を繰り返します。
残りのワークロード ドメインのすべての NSX Edge ノードでこの手順を繰り返します。
PowerShell の手順
PowerShell コマンドを使用してアカウント ロックアップ ポリシーを構成できるのは、SDDC Manager を使用して展開された VMware Cloud Foundation の NSX Edge ノードのみです。手動で展開された NSX Edge 仮想アプライアンス、ベアメタル NSX Edge アプライアンスの場合は、NSX のドキュメントに従ってポリシーを手動で構成します。
PowerShell を起動します。
サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900"
PowerShell コンソールでコマンドを実行して、構成を実行します。
Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval
残りのすべてのワークロード ドメインでこの手順を繰り返します。
SDDC Manager のローカル ユーザー アカウント ロックアウト ポリシーの構成
ログイン試行の最大失敗回数と SDDC Manager アプライアンスのアカウントが自動的にロック解除されるまでの時間を設定します。
設定 |
デフォルト値 |
---|---|
ログイン試行の最大失敗回数 |
3 |
root のロック解除時間 |
300 秒 |
すべてのローカル アカウントのロック解除時間 |
86,400 秒 |
ユーザー インターフェイスの手順
- SSH を使用して SDDC Manager アプライアンスに vcf としてログインします。
- root ユーザーに変更します。
su -
- 次のコマンドを使用して、アプライアンスの認証要件をバックアップします。
cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back
SDDC Manager ユーザーのアカウント ロックアウト ポリシーを構成するためのすべてのプロパティが /etc/security/faillock.conf ファイルに追加されていることを確認します。
/etc/security/faillock.conf ファイルに一部のプロパティがない場合は、手動で追加します。
# Configuration for locking the user after multiple failed # authentication attempts. # # The directory where the user files with the failure records are kept. # The default is /var/run/faillock. . . . . # admin_group = <admin_group_name> dir = /run/faillock deny = 3 unlock_time = 86400 even_deny_root root_unlock_time = 300 dir = /var/log/faillock
- root ユーザー アカウントのロックアウト ポリシーを構成するには、/etc/security/faillock.conf ファイルで、組織の要件に応じて次のプロパティに値を設定し、ファイルを保存します。
設定 /etc/security/faillock.conf のプロパティ 試行失敗回数の上限 拒否 root ユーザー アカウントのロック解除時間 root_unlock_time すべてのローカル アカウントのロック解除時間 unlock_time
この構成は、SDDC Manager アプライアンスのすべてのローカル ユーザー アカウントに適用されます。
PowerShell の手順
- PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "[email protected]" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $maxFailures = "3" $unlockInterval = "86400" $rootUnlockInterval = "300"
- PowerShell コンソールでコマンドを実行して、構成を実行します。
Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval