API または CLI を使用すると、認証ポリシーの設定を表示したり、カスタマイズすることができます。

ポリシー設定の表示または変更について、いくつかのことを理解しておく必要があります。
  • この機能では変更できるパスワード ポリシーは 1 つだけです。
  • パスワード構成に対する変更は、新しいユーザーにすぐに反映されます。管理者が既存のユーザーのパスワード構成を更新した後、現在のユーザーは、更新されたパスワード構成の変更に従う必要があります。
  • API 構成の変更が有効になるまでに約 20 秒かかります。
  • NSX Edge の場合、変更されたパスワードはクラスタ間で同期されません。1 つのノードに CLI と API の両方の変更が表示されます。
  • アプライアンス トランスポート ノードのサポートには、BCG、自律 Edge、統合アプライアンス (UA) が含まれます。ESX では、ローカル管理者または監査ユーザーのトランスポート ノードのパスワード構成の変更はサポートされていません。
  • PAM (Privileged Access Management) は、最小パスワード長または最大パスワード長の設定をサポートしますが、両方の設定はサポートしません。
  • パスワード エントリに負の数を使用すると最小範囲が設定され、正の数を使用すると最大範囲が設定されます。既存のデフォルトを保持するには、応答を空のままにします。
  • アップグレードの前に変更した場合、既存のユーザーのパスワード ポリシー構成はアップグレード後も同じままです。この場合、NSX Manager はデフォルトのパスワード ポリシーを適用しません。
  • 認証ポリシー
    [API] /api/v1/node/aaa/auth-policy
    [API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
    [API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy

NSX Manager には、次の CLI および API パスワードの強度要件と認証コマンドのサポートが含まれています。これらのパスワード ポリシー オプションが管理クラスタ ノード間で同期されるようになりました。パスワードの詳細を表示する場合、権限は必要ありません。既存のパスワードのデフォルトを変更するには、管理者権限が必要です。

デフォルトの範囲とその他の詳細については、『NSX コマンドライン インターフェイス リファレンス』と『NSX API ガイド』を参照してください。

表 1. CLI パスワード ポリシーのカスタマイズ可能なオプション
パスワード オプション CLI コマンド
パスワードの強度構成の表示または構成
get password-complexity
Wed Jun 08 2022 UTC 12:57:45.325
- minimum 12 characters in length
- maximum 128 characters in length
- minimum 1 lowercase characters
- minimum 1 uppercase characters
- minimum 1 numeric characters
- minimum 1 special characters
- default password complexity rules as enforced by the Linux PAM module
set password-complexity

次の引数を使用して、特定のパラメータを変更できます。

Minimum password length (leave empty to not change): 
Maximum password length (leave empty to not change): 
Lower characters (leave empty to not change): 
Upper characters (leave empty to not change): 
Numeric characters (leave empty to not change): 
Special characters (leave empty to not change): 
Minimum unique characters (leave empty to not change): 
Allowed similar consecutives (leave empty to not change): 
Allowed monotonic sequence (leave empty to not change): 
Hash algorithm (leave empty to not change): 
Password remembrance (leave empty to not change):        
認証ポリシーの表示
get auth-policy cli 
lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
認証ポリシーの構成
set auth-policy cli
 lockout-period   Lockout period
 max-auth-failures Maximum authentication failures before lockout
表 2. API パスワード ポリシーのカスタマイズ可能なオプション
パスワード オプション API コマンド
パスワードの強度要件と認証ポリシーの表示
get /api/v1/node/aaa/auth-policy 
{
 "_retry_prompt": 3,
 "_schema": "AuthenticationPolicyProperties",
 "_self": {
     "href": "/node/aaa/auth-policy",
     "rel": "self"
  },
 "api_failed_auth_lockout_period": 5,
 "api_failed_auth_reset_period": 900,
 "api_max_auth_failures": 900,
 "cli_failed_auth_lockout_period": 900,
 "cli_max_auth_failures": 5,
 "digits": -1,
 "hash_algorithm": "sha512",
 "lower_chars": -1,
 "max_repeats": 0,
 "max_sequence": 0,
 "maximum_password_length": 128,
 "minimum_password_length": 12,
 "minimum_unique_chars": 0,
 "password_remembrance": 0,
 "special_chars": -1,
 "upper_chars": -1
}
VMware Identity Manager (vIDM) の認証ポリシーの表示
get auth-policy vidm
Wed Jun 08 2022 UTC 12:58:28.357
LB Enabled: False
Enabled: False
Hostname:
Thumbprint:
Client Id:
Node Hostname:
vIDM 認証ポリシーの構成
set auth-policy vidm
enabled  Enabled property
 hostname  System’s network name
 lb-extern External Load Balancer Flag For vIDM Wiring
パスワードの強度要件と認証ポリシーの構成
  • 失敗した API 認証試行のロックアウト期間(秒)
put /api/v1/node/aaa/auth-policy
lockout_period <lockout-period-arg>
  • 認証失敗ロックアウトのリセット期間
lockout_reset_period
  • API ロックアウトまでに許容される失敗数
max_auth_failures
  • 数字の数
digits
  • ハッシュ アルゴリズム
hash_algorithm
  • 小文字の数
lower_chars
  • 同じ文字の連続
max_repeats
  • 単調な文字の連続(1234、DCBA など)の最大文字数
max_sequence
  • パスワードの最大文字数
maximum_password_length
  • パスワードの最小文字数
minimum_password_length
  • 最低限必要な固有の文字数
minimum_unique_chars
  • パスワードが再利用できる最小回数
password_remembrance
  • 0 の場合、以前のパスワードの確認は無効になります。ユーザーは以前のパスワードを再利用できます。デフォルト。
  • 数字を入力すると、その数の分だけ以前のパスワードを再利用できません。たとえば 2 と入力すると、ユーザーは過去に使用した直前の 2 つのパスワードを再利用できません。
  • 特殊文字の数
special_chars
  • 大文字の数
upper_chars
パスワードの強度要件、認証ポリシー、またはその両方のリセット ノード、トランスポートノード、クラスタの場合:
reset-password-complexity 
reset-auth-policies
reset-all