API または CLI を使用すると、認証ポリシーの設定を表示したり、カスタマイズすることができます。
ポリシー設定の表示または変更について、いくつかのことを理解しておく必要があります。
- この機能では変更できるパスワード ポリシーは 1 つだけです。
- パスワード構成に対する変更は、新しいユーザーにすぐに反映されます。管理者が既存のユーザーのパスワード構成を更新した後、現在のユーザーは、更新されたパスワード構成の変更に従う必要があります。
- API 構成の変更が有効になるまでに約 20 秒かかります。
- NSX Edge の場合、変更されたパスワードはクラスタ間で同期されません。1 つのノードに CLI と API の両方の変更が表示されます。
- アプライアンス トランスポート ノードのサポートには、BCG、自律 Edge、統合アプライアンス (UA) が含まれます。ESX では、ローカル管理者または監査ユーザーのトランスポート ノードのパスワード構成の変更はサポートされていません。
- PAM (Privileged Access Management) は、最小パスワード長または最大パスワード長の設定をサポートしますが、両方の設定はサポートしません。
- パスワード エントリに負の数を使用すると最小範囲が設定され、正の数を使用すると最大範囲が設定されます。既存のデフォルトを保持するには、応答を空のままにします。
- アップグレードの前に変更した場合、既存のユーザーのパスワード ポリシー構成はアップグレード後も同じままです。この場合、NSX Manager はデフォルトのパスワード ポリシーを適用しません。
- 認証ポリシー
[API] /api/v1/node/aaa/auth-policy
[API] /api/v1/cluster/<Node-UUID>/node/aaa/auth-policy
[API] /api/v1/transport-nodes/<transport-node-id>/node/aaa/auth-policy
NSX Manager には、次の CLI および API パスワードの強度要件と認証コマンドのサポートが含まれています。これらのパスワード ポリシー オプションが管理クラスタ ノード間で同期されるようになりました。パスワードの詳細を表示する場合、権限は必要ありません。既存のパスワードのデフォルトを変更するには、管理者権限が必要です。
デフォルトの範囲とその他の詳細については、『NSX コマンドライン インターフェイス リファレンス』と『NSX API ガイド』を参照してください。
| パスワード オプション | CLI コマンド | |
|---|---|---|
| パスワードの強度構成の表示または構成 | get password-complexity Wed Jun 08 2022 UTC 12:57:45.325 - minimum 12 characters in length - maximum 128 characters in length - minimum 1 lowercase characters - minimum 1 uppercase characters - minimum 1 numeric characters - minimum 1 special characters - default password complexity rules as enforced by the Linux PAM module set password-complexity 次の引数を使用して、特定のパラメータを変更できます。 Minimum password length (leave empty to not change): Maximum password length (leave empty to not change): Lower characters (leave empty to not change): Upper characters (leave empty to not change): Numeric characters (leave empty to not change): Special characters (leave empty to not change): Minimum unique characters (leave empty to not change): Allowed similar consecutives (leave empty to not change): Allowed monotonic sequence (leave empty to not change): Hash algorithm (leave empty to not change): Password remembrance (leave empty to not change): |
|
| 認証ポリシーの表示 | get auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
|
| 認証ポリシーの構成 | set auth-policy cli lockout-period Lockout period max-auth-failures Maximum authentication failures before lockout |
| パスワード オプション | API コマンド |
|---|---|
| パスワードの強度要件と認証ポリシーの表示 | get /api/v1/node/aaa/auth-policy {
"_retry_prompt": 3,
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 5,
"api_failed_auth_reset_period": 900,
"api_max_auth_failures": 900,
"cli_failed_auth_lockout_period": 900,
"cli_max_auth_failures": 5,
"digits": -1,
"hash_algorithm": "sha512",
"lower_chars": -1,
"max_repeats": 0,
"max_sequence": 0,
"maximum_password_length": 128,
"minimum_password_length": 12,
"minimum_unique_chars": 0,
"password_remembrance": 0,
"special_chars": -1,
"upper_chars": -1
} |
| VMware Identity Manager (vIDM) の認証ポリシーの表示 | get auth-policy vidm Wed Jun 08 2022 UTC 12:58:28.357 LB Enabled: False Enabled: False Hostname: Thumbprint: Client Id: Node Hostname: |
| vIDM 認証ポリシーの構成 | set auth-policy vidm enabled Enabled property hostname System’s network name lb-extern External Load Balancer Flag For vIDM Wiring |
パスワードの強度要件と認証ポリシーの構成
|
put /api/v1/node/aaa/auth-policy lockout_period <lockout-period-arg> |
|
lockout_reset_period |
|
max_auth_failures |
|
digits |
|
hash_algorithm |
|
lower_chars |
|
max_repeats |
|
max_sequence |
|
maximum_password_length |
|
minimum_password_length |
|
minimum_unique_chars |
|
password_remembrance
|
|
special_chars |
|
upper_chars |
| パスワードの強度要件、認証ポリシー、またはその両方のリセット | ノード、トランスポートノード、クラスタの場合:reset-password-complexity reset-auth-policies reset-all |
