アカウント ロックアウト ポリシーは、システムへの認証に誤った認証情報が使用された場合のシステムの動作を定義します。設定は、VMware Cloud Foundation インスタンスのアカウント タイプおよびコンポーネントによって異なります。

管理コンポーネント アカウント ロックアウト設定 範囲
ESXi
  • 試行の最大失敗回数
  • アカウント ロックアウト期間(秒)
ローカル ユーザー
vCenter Single Sign-On
  • 試行の最大失敗回数
  • 失敗した試行の間隔(秒)
  • アカウント ロックアウト期間(秒)
vCenter Single Sign-On ドメイン
vCenter Server
  • 試行の最大失敗回数
  • アカウント ロックアウト期間(秒)
  • root アカウントのロックアウト期間(秒)
ローカル ユーザー
NSX Manager
  • 試行の最大失敗回数

  • アカウント ロックアウト期間(秒)

  • アカウントのリセット期間(秒)

ローカル ユーザー
NSX Edge
  • 試行の最大失敗回数

  • アカウント ロックアウト期間(秒)

ローカル ユーザー
SDDC Manager
  • 試行の最大失敗回数

  • アカウント ロックアウト期間(秒)

  • root アカウントのロックアウト期間(秒)

ローカル ユーザー

前提条件

パスワード ポリシー構成の前提条件を参照してください。

ESXi のローカル アカウント ロックアウト ポリシーの構成

ログイン試行の最大失敗回数と、VMware Cloud Foundation の ESXi ホスト上のローカル アカウントが自動的にロック解除されるまでの時間を設定します。

設定

デフォルト値

Security.AccountLockFailures

5

Security.AccountUnlockTime

900

ユーザー インターフェイスの手順

  1. ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
  2. [ホストおよびクラスタ] インベントリで、最初の vSphere クラスタに移動して展開します。

  3. 最初の ESXi ホストを選択し、[設定] タブをクリックします。

  4. [システム] セクションで、[システムの詳細設定] をクリックします。

  5. [システムの詳細設定] 画面で、[編集] をクリックします。

  6. キー フィルタ テキスト ボックスに「Security.AccountLockFailures」と入力し、組織の要件に応じて値を入力します。

  7. キー フィルタ テキスト ボックスに「Security.AccountUnlockTime」と入力し、組織の要件に応じて値を入力して、[OK] をクリックします。

  8. クラスタの残りのホストでこの手順を繰り返します。

  9. ワークロード ドメイン内の残りのクラスタでこの手順を繰り返します。

  10. 残りのワークロード ドメインのすべてのクラスタでこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    $cluster = "sfo-m01-cl01"
    
    $maxFailures = "5"
    $unlockInterval = "900"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval
  4. $sddcDomainName ワークロード ドメインのすべての残りのクラスタでこの手順を繰り返します。

  5. 残りのワークロード ドメインのすべてのクラスタでこの手順を繰り返します。

vCenter Single Sign-On のアカウント ロックアウト ポリシーの構成

VMware Cloud Foundation の vsphere.local ドメイン内のユーザー アカウントのログイン試行の最大失敗回数と失敗間隔を設定します。アカウントのロックが自動的に解除されるまでの時間も設定します。

ロックアウト ポリシーは、vCenter Single Sign-On の組み込み ID プロバイダ vsphere.local のユーザー アカウントにのみ適用されます。このポリシーは、ローカル システム アカウントおよび [email protected] には適用されません。
設定 デフォルト値
ログイン試行の最大失敗回数 5
失敗した試行の時間間隔 180 秒
ロック解除時間 900 秒

ユーザー インターフェイスの手順

  1. ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
  2. vSphere Client メニューから、[管理] を選択します。
  3. [シングル サインオン] セクションで、[構成] をクリックします。
  4. [構成] ページで、[ローカル アカウント] タブをクリックします。
  5. [ロックアウト ポリシー] セクションで、[編集] をクリックします。
  6. 組織の要件に応じて設定の値を入力し、[保存] をクリックします。

PowerShell の手順

  1. PowerShell を起動します。
  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $maxFailures = "5"
    $failureAttemptInterval = "180"
    $unlockInterval = "900"
    
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。
    Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval

vCenter Server の root ユーザー アカウント ロックアウト ポリシーの構成

VMware Cloud Foundation の vCenter Server アプライアンスの root ローカル アカウントに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。

設定

デフォルト値

ログイン試行の最大失敗回数

3

root のロック解除時間

300 秒

ロック解除時間

900 秒

ユーザー インターフェイスの手順

  1. SSH を使用して vCenter Server アプライアンスに root としてログインします。

  2. シェル アクセスを有効にします。

    shell
  3. 次のコマンドを使用して、アプライアンスの認証要件をバックアップします。

    cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back
  4. root ユーザーのアカウント ロックアウト ポリシーを構成するためのすべての設定が /etc/security/faillock.conf ファイルに追加されていることを確認します。

    /etc/security/faillock.conf ファイルに一部のプロパティがない場合は、手動で追加します。

     dir = /var/log/faillock
    audit
    silent
    deny = 3
    unlock_time = 1200
    even_deny_root
    root_unlock_time = 300
    fail_interval = 900
    
  5. root ユーザー アカウントのロックアウト ポリシーを構成するには、/etc/security/faillock.conf ファイルで、組織の要件に応じて次のプロパティに値を設定し、ファイルを保存します。
    設定 /etc/security/faillock.conf のプロパティ
    試行失敗回数の上限 拒否
    root ユーザー アカウントのロック解除時間 root_unlock_time
    すべてのローカル アカウントのロック解除時間 unlock_time
  6. ワークロード ドメインの vCenter Server ごとにこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $maxFailures = "5"
    $rootUnlockInterval = "300"
    $unlockInterval = "900"
    
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval
  4. ワークロード ドメインの vCenter Server ごとにこの手順を繰り返します。

NSX Manager のローカル ユーザー アカウント ロックアウト ポリシーの構成

VMware Cloud Foundation の NSX Manager アプライアンスのローカル ユーザーに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。

方法

設定

デフォルト値

API

max-auth-failures

5

lockout-reset-period

180 秒

ロックアウト期間

900 秒

CLI

max-auth-failures

5

ロックアウト期間

900 秒

ユーザー インターフェイスの手順

  1. 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に 管理者権限を持つアカウントを使用してログインします。
  2. [仮想マシンおよびテンプレート] インベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
  3. NSX Manager クラスタを含む仮想マシン フォルダを展開します。

  4. NSX Manager クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。

  5. NSX Manager ノードに admin としてログインします。

  6. 組織の要件に従って、NSX Manager ユーザー インターフェイスにログインしたり、API 要求を行ったりするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。

    set auth-policy api lockout-period <lockout-period>
    set auth-policy api lockout-reset-period <lockout-reset-period>
    set auth-policy api max-auth-failures <auth-failures>
  7. 組織の要件に従って NSX CLI にログインするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。

    set auth-policy cli lockout-period <lockout-period>
    set auth-policy cli max-auth-failures <auth-failures>
  8. 管理ドメインの残りの NSX ローカル マネージャ ノードでこの手順を繰り返します。

  9. すべての VI ワークロード ドメインの NSX ローカル マネージャ ノードでこの手順を繰り返します。

  10. すべての NSX グローバル マネージャ クラスタでこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $cliMaxFailures = "5"
    $cliUnlockInterval = "900"
    $apiMaxFailures = "5"
    $apiUnlockInterval = "900"
    $apiFailureInterval = "180"
    
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval
  4. VI ワークロード ドメインのすべての NSX ローカル マネージャ クラスタでこの手順を繰り返します。

  5. 各ノードのアプライアンス コンソールで、すべての NSX グローバル マネージャ クラスタのアカウント ロックアウト ポリシーを手動で構成します。

NSX Edge のローカル ユーザー アカウント ロックアウト ポリシーの構成

VMware Cloud Foundation の NSX Edge アプライアンスのローカル ユーザーに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。

方法

設定

デフォルト値

CLI

max-auth-failures

5

ロックアウト期間

900 秒

ユーザー インターフェイスの手順

  1. NSX Edge 仮想アプライアンスを構成する場合は、vSphere Client の Web コンソールを使用してアプライアンス コンソールを開きます。

    1. ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
    2. [仮想マシンおよびテンプレート] インベントリで、NSX Edge クラスタを含む仮想マシン フォルダに移動して展開します。

    3. NSX Edge クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。

  2. ベアメタル NSX Edge アプライアンスを構成する場合は、iLO や iDRAC などのアウトオブバンド管理インターフェイスを使用してアプライアンス コンソールを開きます。

  3. NSX Edge ノードに admin としてログインします。

  4. 組織の要件に従って NSX CLI にログインするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。

    set auth-policy cli lockout-period <lockout-period>
    set auth-policy cli max-auth-failures <auth-failures>
  5. ワークロード ドメインの残りの NSX Edge ノードでこの手順を繰り返します。

  6. 残りのワークロード ドメインのすべての NSX Edge ノードでこの手順を繰り返します。

PowerShell の手順

PowerShell コマンドを使用してアカウント ロックアップ ポリシーを構成できるのは、SDDC Manager を使用して展開された VMware Cloud Foundation の NSX Edge ノードのみです。手動で展開された NSX Edge 仮想アプライアンス、ベアメタル NSX Edge アプライアンスの場合は、NSX のドキュメントに従ってポリシーを手動で構成します。

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $cliMaxFailures = "5"
    $cliUnlockInterval = "900"
    
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval
  4. 残りのすべてのワークロード ドメインでこの手順を繰り返します。

SDDC Manager のローカル ユーザー アカウント ロックアウト ポリシーの構成

ログイン試行の最大失敗回数と SDDC Manager アプライアンスのアカウントが自動的にロック解除されるまでの時間を設定します。

設定

デフォルト値

ログイン試行の最大失敗回数

3

root のロック解除時間

300 秒

すべてのローカル アカウントのロック解除時間

86,400 秒

ユーザー インターフェイスの手順

  1. SSH を使用して SDDC Manager アプライアンスに vcf としてログインします。
  2. root ユーザーに変更します。
    su -
  3. 次のコマンドを使用して、アプライアンスの認証要件をバックアップします。
    cp -p /etc/security/faillock.conf /etc/security/faillock.conf-`date +%F_%H:%M:%S`.back
  4. SDDC Manager ユーザーのアカウント ロックアウト ポリシーを構成するためのすべてのプロパティが /etc/security/faillock.conf ファイルに追加されていることを確認します。

    /etc/security/faillock.conf ファイルに一部のプロパティがない場合は、手動で追加します。

    # Configuration for locking the user after multiple failed
    # authentication attempts.
    #
    # The directory where the user files with the failure records are kept.
    # The default is /var/run/faillock.
    .
    .
    .
    .
    # admin_group = <admin_group_name>
    dir = /run/faillock
    deny = 3
    unlock_time = 86400
    even_deny_root
    root_unlock_time = 300
    dir = /var/log/faillock
    
  5. root ユーザー アカウントのロックアウト ポリシーを構成するには、/etc/security/faillock.conf ファイルで、組織の要件に応じて次のプロパティに値を設定し、ファイルを保存します。
    設定 /etc/security/faillock.conf のプロパティ
    試行失敗回数の上限 拒否
    root ユーザー アカウントのロック解除時間 root_unlock_time
    すべてのローカル アカウントのロック解除時間 unlock_time

この構成は、SDDC Manager アプライアンスのすべてのローカル ユーザー アカウントに適用されます。

PowerShell の手順

  1. PowerShell を起動します。
  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    # Replace with the name of your management domain
    $sddcDomainName = "sfo-m01"
    
    $rootPass = "VMw@re1!"
    $maxFailures = "3"
    $unlockInterval = "86400"
    $rootUnlockInterval = "300"
    
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。
    Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval