API または CLI を使用すると、認証ポリシーの設定を表示したり、カスタマイズすることができます。
ポリシー設定の表示または変更について、いくつかのことを理解しておく必要があります。
- この機能では変更できるパスワード ポリシーは 1 つだけです。
- パスワード構成に対する変更は、新しいユーザーにすぐに反映されます。管理者が既存のユーザーのパスワード構成を更新した後、現在のユーザーは、更新されたパスワード構成の変更に従う必要があります。
- API 構成の変更が有効になるまでに約 20 秒かかります。
- NSX Edge の場合、変更されたパスワードはクラスタ間で同期されません。1 つのノードに CLI と API の両方の変更が表示されます。
- アプライアンス トランスポート ノードのサポートには、BCG、自律 Edge、統合アプライアンス (UA) が含まれます。ESX では、ローカル管理者または監査ユーザーのトランスポート ノードのパスワード構成の変更はサポートされていません。
- PAM (Privileged Access Management) は、最小パスワード長または最大パスワード長の設定をサポートしますが、両方の設定はサポートしません。
- パスワード エントリに負の数を使用すると最小範囲が設定され、正の数を使用すると最大範囲が設定されます。既存のデフォルトを保持するには、応答を空のままにします。
- アップグレードの前に変更した場合、既存のユーザーのパスワード ポリシー構成はアップグレード後も同じままです。この場合、NSX Manager はデフォルトのパスワード ポリシーを適用しません。
- 認証ポリシー
[API] /api/v1/node/aaa/auth-policy
[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy
NSX Manager には、次の CLI および API パスワードの強度要件と認証コマンドのサポートが含まれています。これらのパスワード ポリシー オプションが管理クラスタ ノード間で同期されるようになりました。パスワードの詳細を表示する場合、権限は必要ありません。既存のパスワードのデフォルトを変更するには、管理者権限が必要です。
デフォルトの範囲とその他の詳細については、『NSX コマンドライン インターフェイス リファレンス』と『NSX API ガイド』を参照してください。
パスワード オプション | CLI コマンド | |
---|---|---|
パスワードの強度構成の表示または構成 | get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity 次の引数を使用して、特定のパラメータを変更できます。 Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change): |
|
認証ポリシーの表示 | get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
|
認証ポリシーの構成 | set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
パスワード オプション | API コマンド |
---|---|
パスワードの強度要件と認証ポリシーの表示 | get /api/v1/node/aaa/auth-policy { "_retry_prompt": 3, "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 5, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 900, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "digits": -1, "hash_algorithm": "sha512", "lower_chars": -1, "max_repeats": 0, "max_sequence": 0, "maximum_password_length": 128, "minimum_password_length": 12, "minimum_unique_chars": 0, "password_remembrance": 0, "special_chars": -1, "upper_chars": -1 } |
VMware Identity Manager (vIDM) の認証ポリシーの表示 | get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname: |
vIDM 認証ポリシーの構成 | set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring |
パスワードの強度要件と認証ポリシーの構成
|
put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg> |
|
lockout_reset_period |
|
max_auth_failures |
|
digits |
|
hash_algorithm |
|
lower_chars |
|
max_repeats |
|
max_sequence |
|
maximum_password_length |
|
minimum_password_length |
|
minimum_unique_chars |
|
password_remembrance
|
|
special_chars |
|
upper_chars |
パスワードの強度要件、認証ポリシー、またはその両方のリセット | ノード、トランスポートノード、クラスタの場合:reset-password-complexity reset-auth-policies reset-all |