ESXi ホストに対して、事前に定義された要件を満たすパスワードを使用する必要があります。Security.PasswordQualityControl の詳細オプションを使用して、パスワードの文字数や文字の種類の要件の変更や、パスフレーズの許可ができます。
ESXi のパスワード
ESXi では、ダイレクト コンソール ユーザー インターフェイス、ESXi Shell、SSH、または VMware Host Client を使用してアクセスするためのパスワード要件があります。
- パスワードを作成する際、デフォルトでは、小文字、大文字、数字、および特殊文字(アンダースコアやダッシュなど)の 4 種類の文字を混在させる必要があります。
- デフォルトでは、パスワードの長さは 8 文字以上 40 文字未満です。
- パスワードには、辞書ファイル内の単語または単語の一部を含めることはできません。
ESXi のパスワードの例
retry=3 min=disabled,disabled,disabled,7,7この設定では、1 種類または 2 種類の文字が含まれるパスワードと、パスフレーズは許可されません。これは、最初の 3 つのアイテムが無効に設定されているためです。パスワードには 3 種類および 4 種類の文字を使用し、7 文字の長さが必要です。詳細については、 pam_passwdqc の man ページを参照してください。
- xQaTEhb!: 3 種類の文字を使用した 8 文字のパスワード。
- xQaT3#A: 4 種類の文字を使用した 7 文字のパスワード。
- Xqat3hi:先頭が大文字であるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
- xQaTEh2:数字で終わるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
ESXi のパスフレーズ
パスワードの代わりに、パスフレーズを使用することもできますが、パスフレーズはデフォルトで無効になっています。このデフォルト設定やその他の設定を変更するには、vSphere Web Client から Security.PasswordQualityControl の詳細オプションを使用します。
たとえば、このオプションは次のように変更できます。
retry=3 min=disabled,disabled,16,7,7
この例では、最小で 16 文字を使用し、スペースで区切られた最小で 3 つの単語を含むパスフレーズを可能にしています。
レガシー ホストで /etc/pamd/passwd ファイルを変更することは引き続きサポートされますが、今後のリリースでは、ファイル変更のサポートは廃止されます。代わりに、Security.PasswordQualityControl の詳細オプションを使用します。
デフォルトのパスワード制限の変更
パスワードまたはパスフレーズのデフォルトの制限を変更するには、ESXi ホストの Security.PasswordQualityControl 詳細オプションを使用します。ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホストの管理』ドキュメントを参照してください。
retry=3 min=disabled,disabled,15,7,7 passphrase=4詳細については、 pam_passwdqc の man ページを参照してください。
ESXi のアカウント ロックアウトの動作
vSphere 6.0 以降では、SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 10 回許可されています。デフォルトでは 2 分後に、アカウントのロックが解除されます。
ログイン動作の設定
- Security.AccountLockFailures。ログインが失敗し、ユーザー アカウントがロックされるまでの最大試行回数です。ゼロにすると、アカウントのロックは無効になります。
- Security.AccountUnlockTime。ユーザーがロックアウトされる秒数です。
ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホストの管理』ドキュメントを参照してください。