ESXi ホストに対して、事前に定義された要件を満たすパスワードを使用する必要があります。Security.PasswordQualityControl の詳細オプションを使用して、パスワードの文字数や文字の種類の要件の変更や、パスフレーズの許可ができます。

ESXi では、パスワードの管理および制御に Linux PAM モジュール pam_passwdqc を使用します。詳細については、pam_passwdqc のマニュアルページを参照してください。

注:

ESXi パスワードのデフォルト要件は、リリースごとに変更される場合があります。Security.PasswordQualityControl の詳細オプションを使用して、デフォルトのパスワード制限を確認および変更できます。

ESXi のパスワード

ESXi では、ダイレクト コンソール ユーザー インターフェイス、ESXi Shell、SSH、または VMware Host Client を使用してアクセスするためのパスワード要件があります。パスワードを作成する際、デフォルトでは、小文字、大文字、数字、および特殊文字(アンダースコアやダッシュなど)の 4 種類の文字を混在させる必要があります。

注:

パスワードの先頭に大文字を使用する場合、これは文字の種類に含まれません。パスワードの末尾を数字にする場合、これは文字の種類に含まれません。

パスワードには、辞書ファイル内の単語または単語の一部を含めることはできません。

ESXi のパスワードの例

次のようにオプション設定の場合のパスワードの候補です

retry=3 min=disabled,disabled,disabled,7,7

この設定では、1 種類または 2 種類の文字が含まれるパスワードと、パスフレーズは許可されません。これは、最初の 3 つのアイテムが無効に設定されているためです。パスワードには 3 種類および 4 種類の文字を使用し、7 文字の長さが必要です。詳細については、pam_passwdqc のマニュアルページを参照してください。

この設定では、次のパスワードが許可されます。

  • xQaTEhb!: 3 種類の文字を使用した 8 文字のパスワード。

  • xQaT3#A: 4 種類の文字を使用した 7 文字のパスワード。

次のパスワード候補は、要件を満たしていません。

  • Xqat3hi:大文字が先頭にあるため、有効な文字種に含まれません。よって文字種は数字と小文字の 2 種類とみなされます。パスワードには、3 種類以上の文字を使用する必要があります。

  • xQaTEh2:最後の文字が数字であるため、有効な文字種に含まれず、文字種は 2 種類とみなされます。パスワードには、3 種類以上の文字を使用する必要があります。

ESXi のパスフレーズ

パスワードの代わりに、パスフレーズを使用することもできますが、パスフレーズはデフォルトで無効になっています。このデフォルト設定やその他の設定を変更するには、vSphere Web Client から Security.PasswordQualityControl の詳細オプションを使用します。

たとえば、このオプションは次のように変更できます。

retry=3 min=disabled,disabled,16,7,7

この例では、最小で 16 文字を使用し、スペースで区切られた最小で 3 つの単語を含むパスフレーズを可能にしています。

レガシー ホストで /etc/pamd/passwd ファイルを変更することは引き続きサポートされますが、今後のリリースでは、ファイル変更のサポートは廃止されます。代わりに、Security.PasswordQualityControl の詳細オプションを使用します。

デフォルトのパスワード制限の変更

パスワードまたはパスフレーズのデフォルトの制限を変更するには、ESXi ホストの Security.PasswordQualityControl 詳細オプションを使用します。ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホスト管理』ドキュメントを参照してください。

たとえば、最小 15 文字、最小で 4 つの単語数を要求するように変更するには、次のように指定します。

retry=3 min=disabled,disabled,15,7,7 passphrase=4

詳細については、pam_passwdqc のマニュアルページを参照してください。

注:

pam_passwdqc のオプションは、可能なすべての組み合わせがテストされているわけではありません。デフォルトのパスワード設定を変更した後は、追加でテストを実行します。

ESXi のアカウント ロックアウトの動作

vSphere 6.0 以降では、SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 10 回許可されています。デフォルトでは 2 分後に、アカウントのロックが解除されます。

ログイン動作の構成

ESXi ホストのログイン動作を構成するには、次の詳細オプションを使用します。

  • Security.AccountLockFailures。ログインが失敗し、ユーザー アカウントがロックされるまでの最大試行回数です。ゼロにすると、アカウントのロックは無効になります。

  • Security.AccountUnlockTime。ユーザーがロックアウトされる秒数です。

ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホスト管理』ドキュメントを参照してください。