パスワード有効期限ポリシーは、システムがパスワードの変更を強制する前にアカウントのパスワードを使用できる期間を定義します。VMware Cloud Foundation インスタンスの管理コンポーネントに応じて、このポリシーをグローバル レベルまたはローカル ユーザー レベルで定義します。

管理コンポーネント

パスワード有効期限の設定

範囲

ESXi

パスワード有効期限の間隔(日)

ローカル ユーザー

vCenter Single Sign-On

パスワード有効期限の間隔(日)

グローバル

vCenter Server

  • パスワード有効期限の間隔(日)

  • パスワード有効期限リマインダ(日)

  • 有効期限の通知メール アドレス

  • グローバル

  • ローカル ユーザー

NSX Manager

パスワード有効期限の間隔(日)

ローカル ユーザー

NSX Edge

パスワード有効期限の間隔(日)

ローカル ユーザー

SDDC Manager

  • パスワード有効期限の間隔(日)

  • パスワード有効期限リマインダ(日)

ローカル ユーザー

前提条件

パスワード ポリシー構成の前提条件を参照してください。

ESXi のローカル ユーザー パスワード有効期限ポリシーの構成

VMware Cloud Foundation の ESXi ホスト上のローカル ユーザーのパスワードが期限切れになり、変更が強制されるまでの間隔を定義します。

設定

デフォルト値

Security.PasswordMaxDays

99999

前提条件

ローカル アカウントのパスワードの有効期限を短縮する場合は、SDDC Manager を使用してアカウントのパスワードをローテーションします。パスワードのローテーションを参照してください。

パスワードの有効期限は、最後のパスワード変更日にパスワードの有効期限を追加することによって決定されます。最後のパスワード変更からの時間が新しい有効期限よりも長い場合、パスワードはすぐに期限切れになります。

ユーザー インターフェイスの手順

  1. ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
  2. [ホストおよびクラスタ] インベントリで、最初の vSphere クラスタに移動して展開します。
  3. 最初の ESXi ホストを選択し、[設定] タブをクリックします。

  4. [システム] セクションで、[システムの詳細設定] をクリックします。

  5. [システムの詳細設定] 画面で、[編集] をクリックします。

  6. キー フィルタ テキスト ボックスに「Security.PasswordMaxDays」と入力し、組織の要件に応じて設定の値を入力して、[OK] をクリックします。

  7. クラスタの残りのホストでこの手順を繰り返します。

  8. ワークロード ドメインのすべての残りのクラスタでこの手順を繰り返します。

  9. 残りのワークロード ドメインにあるすべてのクラスタでこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    $cluster = "sfo-m01-cl01"
    
    $maxDays = "99999"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-EsxiPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -maxDays $maxDays
  4. $sddcDomainName ワークロード ドメインにある残りのすべてのクラスタでこの手順を繰り返します。

  5. 残りのワークロード ドメインにあるすべてのクラスタでこの手順を繰り返します。

vCenter Single Sign-On のパスワード有効期限ポリシーの構成

VMware Cloud Foundationvsphere.local ドメイン内のユーザー アカウントのパスワードが期限切れになり、変更が強制されるまでの間隔を定義します。

パスワード有効期限ポリシーは、vCenter Single Sign-On の組み込み ID プロバイダの vsphere.local ドメイン内のユーザー アカウントにのみ適用されます。このポリシーは、ローカル システム アカウントおよび [email protected] には適用されません。

注:

SDDC Manager は、vCenter Single Sign-On の組み込み ID プロバイダ内に専用サービス アカウントを作成します。パスワード有効期限ポリシーを変更すると、これらのサービス アカウントにも影響します。

設定

デフォルト値

最長有効期間

90

ユーザー インターフェイスの手順

  1. ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
  2. vSphere Client メニューから、[管理] を選択します。
  3. [シングル サインオン] セクションで、[構成] をクリックします。

  4. [構成] 画面で、[ローカル アカウント] タブをクリックします。

  5. [パスワード ポリシー] セクションで、[編集] をクリックします。

  6. 組織の要件に応じて [最長有効期間] 設定の値を入力し、[保存] をクリックします。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $maxDays = "90"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-SsoPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays

vCenter Server のグローバル パスワード有効期限ポリシーの構成

VMware Cloud Foundation の vCenter Server アプライアンスのローカル ユーザー アカウントのパスワードが期限切れになり、変更が強制されるまでの間隔をグローバルに定義します。

設定

デフォルト値

パスワード変更までの最大日数

90

パスワード変更までの最小日数

0

パスワードの有効期限が切れるまでの警告の日数

7

vCenter Server のグローバル パスワード有効期限ポリシーは、API を使用してのみ構成できます。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $maxDays = "90"
    $minDays = "0"
    $warningDays = "7"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-VcenterPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays -minDays $minDays -warnDays $warningDays
  4. 残りのワークロード ドメインでこの手順を繰り返します。

vCenter Server の root ユーザー パスワード有効期限ポリシーの構成

VMware Cloud Foundation の vCenter Server アプライアンスの root アカウントのパスワードが期限切れになり、変更が強制されるまでの間隔を定義します。

設定

デフォルト値

パスワードの有効期間(日数)

90

期限切れ警告の電子メール

-

パスワードの有効期限が切れるまでの警告の日数

7

前提条件

vSphere Client の [構成] タブの [設定] [全般] で E メール送信アカウントを使用してターゲット vCenter Server インスタンスを構成します。

ユーザー インターフェイスの手順

  1. vCenter Server 管理インターフェイス (https://<vcenter_server_fqdn>:5480) に root としてログインします。
  2. ナビゲーション ペインで、[管理] をクリックします。

  3. [パスワード有効期限の設定] セクションで [編集] をクリックします。

  4. 組織の要件に従って設定を構成し、[保存] をクリックします。

  5. SSH を使用して vCenter Server アプライアンス コンソールに root としてログインします。

  6. シェル アクセスを有効にします。

    shell
  7. 次のコマンドを使用して、パスワードの有効期限が切れるまでの警告日数の値を変更します。

    chage --warndays <your_value> root
  8. 残りのすべてのワークロード ドメインでこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $email = "[email protected]"
    $maxDays = "90"
    $warningDays = "7"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-VcenterRootPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -email $email -maxDays $maxDays -warnDays $warningdays
  4. 残りのすべてのワークロード ドメインでこの手順を繰り返します。

NSX Manager のローカル ユーザー パスワード有効期限ポリシーの構成

VMware Cloud Foundation の NSX Manager ローカル ユーザーのパスワード有効期限ポリシーを構成します。ユーザー単位で組み込みの NSX アカウントのポリシーを構成します。

ユーザー

設定

デフォルト値

root

パスワード変更までの最大日数

90

admin

パスワード変更までの最大日数

90

audit

パスワード変更までの最大日数

90

guestuser1

パスワード変更までの最大日数

90

guestuser2

パスワード変更までの最大日数

90

ユーザー インターフェイスの手順

  1. 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に 管理者権限を持つアカウントを使用してログインします。
  2. [仮想マシンおよびテンプレート] インベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
  3. 管理ドメインの NSX Manager クラスタを含む仮想マシン フォルダを展開します。

  4. NSX Manager クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。

  5. NSX Manager ノードに admin としてログインします。

  6. 次のコマンドを使用して、パスワード変更までの最大日数を変更します。

    set user root password-expiration <your_value>

    変更は、NSX Manager クラスタ内の他のノードにレプリケートされます。

  7. 残りのローカル アカウントでこの手順を繰り返します。

  8. すべての VI ワークロード ドメインの NSX ローカル マネージャ クラスタでこの手順を繰り返します。

  9. すべての NSX グローバル マネージャ クラスタでこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $maxDays = "90"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-NsxtManagerPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays
  4. すべての VI ワークロード ドメインの NSX ローカル マネージャ クラスタでこの手順を繰り返します。

  5. 各クラスタの最初のノードのアプライアンス コンソールで、すべての NSX グローバル マネージャ クラスタのパスワード有効期限ポリシーを手動で構成します。

NSX Edge のローカル ユーザー パスワード有効期限ポリシーの構成

VMware Cloud Foundation の NSX Edge ローカル ユーザーのパスワード有効期限を構成します。組み込みの NSX アカウントに対してユーザー単位で構成します。

ユーザー

設定

デフォルト値

root

パスワード変更までの最大日数

90

admin

パスワード変更までの最大日数

90

audit

パスワード変更までの最大日数

90

guestuser1

パスワード変更までの最大日数

90

guestuser2

パスワード変更までの最大日数

90

ユーザー インターフェイスの手順

  1. NSX Edge 仮想アプライアンスを構成する場合は、vSphere Client の Web コンソールを使用してアプライアンス コンソールを開きます。
    1. ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
    2. [仮想マシンおよびテンプレート] インベントリで、ワークロード ドメインの NSX Edge ノードを含む仮想マシン フォルダに移動して展開します。
    3. NSX Edge クラスタの最初のノードを選択し、[Web コンソールの起動] をクリックします。

  2. ベアメタル NSX Edge アプライアンスを構成する場合は、iLO や iDRAC などのアウトオブバンド管理インターフェイスを使用してアプライアンス コンソールを開きます。
  3. NSX Edge ノードに admin としてログインします。

  4. 次のコマンドを使用して、パスワード変更までの最大日数を変更します。

    set user root password-expiration <your_value>
  5. 残りのローカル アカウントでこの手順を繰り返します。

  6. ワークロード ドメインのクラスタ内の残りの NSX Edge ノードでこの手順を繰り返します。

  7. 残りのワークロード ドメインのすべての NSX Edge クラスタでこの手順を繰り返します。

PowerShell の手順

PowerShell コマンドを使用してパスワード有効期限ポリシーを構成できるのは、SDDC Manager を使用して展開された VMware Cloud Foundation の NSX Edge ノードのみです。手動で展開された NSX Edge 仮想アプライアンス、ベアメタル NSX Edge アプライアンスの場合は、NSX のドキュメントに従ってポリシーを手動で構成します。

  1. PowerShell を起動します。

  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    $sddcDomainName = "sfo-m01"
    
    $maxDays = "90"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。

    Update-NsxtEdgePasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays
  4. 残りのワークロード ドメインのすべての NSX Edge クラスタでこの手順を繰り返します。

SDDC Manager のローカル ユーザー パスワード有効期限ポリシーの構成

ユーザー単位で SDDC Manager のローカル ユーザーのパスワード有効期限を構成します。

ユーザー

設定

デフォルト値

root

パスワード変更までの最大日数

90

パスワード変更までの最小日数

0

パスワードの有効期限が切れるまでの警告の日数

7

vcf

パスワード変更までの最大日数

90

パスワード変更までの最小日数

0

パスワードの有効期限が切れるまでの警告の日数

7

backup

パスワード変更までの最大日数

90

パスワード変更までの最小日数

0

パスワードの有効期限が切れるまでの警告の日数

7

ユーザー インターフェイスの手順

  1. SSH を使用して SDDC Manager アプライアンスに vcf としてログインします。
  2. root ユーザーに変更します。
    su -
  3. 次のコマンドを使用して、パスワード変更までの最大日数を変更します。
    chage --maxdays <your_value> root
  4. 次のコマンドを使用して、パスワード変更までの最小日数を変更します。
    chage --mindays <your_value> root
  5. 次のコマンドを使用して、パスワードの有効期限が切れるまでの警告日数を変更します。
    chage --warndays <your_value> root
  6. 残りのローカル アカウントでこの手順を繰り返します。

PowerShell の手順

  1. PowerShell を起動します。
  2. サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。
    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    
    # Replace with the name of your management domain
    $sddcDomainName = "sfo-m01"
    
    $vmName = "sfo-vcf01"
    $guestuser = "root"
    $guestPassword = "VMw@re1!”
    $localUsers = @("root","vcf","backup")
    
    
    $maxDays = "90"
    $minDays = "0"
    $warningDays = "7"
  3. PowerShell コンソールでコマンドを実行して、構成を実行します。
    Update-LocalUserPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -vmName $vmName -guestUser $guestUser -guestPassword $guestPassword -localUser $localUsers -minDays $minDays -maxDays $maxDays -warnDays $warningDays