ESXi ホストに対して、事前に定義された要件を満たすパスワードを使用する必要があります。Security.PasswordQualityControl の詳細オプションを使用して、パスワードの文字数や文字の種類の要件の変更や、パスフレーズの許可ができます。Security.PasswordHistory の詳細オプションを使用して、ユーザーごとに記憶するパスワードの数を設定することもできます。

注: ESXi パスワードのデフォルト要件は、リリースごとに変更される場合があります。 Security.PasswordQualityControl の詳細オプションを使用して、デフォルトのパスワード制限を確認および変更できます。

ESXi のパスワード

ESXi では、ダイレクト コンソール ユーザー インターフェイス、ESXi Shell、SSH、または VMware Host Client を使用してアクセスするためのパスワード要件があります。

  • パスワードを作成する際、デフォルトでは、小文字、大文字、数字、および特殊文字(アンダースコアやダッシュなど)の 4 種類の文字のうち 3 つ以上を混在させる必要があります。
  • デフォルトでは、パスワードの長さは 7 文字以上 40 文字未満です。
  • パスワードに、辞書ファイル内の単語または単語の一部を含めることはできません。
  • パスワードには、ユーザー名またはユーザー名の一部を含めることはできません。
注: パスワードの先頭に大文字を使用する場合、これは文字の種類に含まれません。パスワードの末尾を数字にする場合、これは文字の種類に含まれません。辞書にある語をパスワードに使用すると、パスワード全体の強度が低下します。

ESXi のパスワードの例

次のようにオプション設定の場合のパスワードの候補です
retry=3 min=disabled,disabled,disabled,7,7
この設定では、新しいパスワードが十分に強力ではない場合、またはパスワードが 2 回正しく入力されなかった場合、ユーザーは最大 3 回 (retry=3) 入力を要求されます。1 種類または 2 種類の文字が含まれるパスワードと、パスフレーズは許可されません。これは、最初の 3 つのアイテムが無効に設定されているためです。パスワードには 3 種類および 4 種類の文字を使用し、7 文字の長さが必要です。 maxpassphrase など、その他のオプションの詳細については、 pam_passwdqc のメイン ページを参照してください。
この設定では、次のパスワードが許可されます。
  • xQaTEhb!: 3 種類の文字を使用した 8 文字のパスワード。
  • xQaT3#A: 4 種類の文字を使用した 7 文字のパスワード。
次のパスワード候補は、要件を満たしていません。
  • Xqat3hi:先頭が大文字であるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
  • xQaTEh2:数字で終わるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。

ESXi のパスフレーズ

パスワードの代わりに、パスフレーズを使用することもできますが、パスフレーズはデフォルトで無効になっています。デフォルト設定やその他の設定を変更するには、vSphere Client から Security.PasswordQualityControl の詳細オプションを使用します。

たとえば、このオプションは次のように変更できます。

retry=3 min=disabled,disabled,16,7,7

この例では、最小で 16 文字を使用し、最小で 3 つの単語を含むパスフレーズを許可しています。

レガシー ホストで /etc/pam.d/passwd ファイルを変更することは引き続きサポートされますが、今後のリリースで、ファイル変更のサポートは廃止されます。代わりに、Security.PasswordQualityControl の詳細オプションを使用します。

デフォルトのパスワード制限の変更

パスワードまたはパスフレーズのデフォルトの制限を変更するには、ESXi ホストの Security.PasswordQualityControl 詳細オプションを使用します。ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホストの管理』を参照してください。

たとえば、最小 15 文字、最小で 4 つの単語数 ( passphrase=4) を要求するように変更するには、次のように指定します。
retry=3 min=disabled,disabled,15,7,7 passphrase=4
詳細については、 pam_passwdqc の man ページを参照してください。
注: パスワードのオプションは、可能なすべての組み合わせがテストされているわけではありません。デフォルトのパスワード設定を変更した後は、テストを実行します。

この例では、パスワードの複雑性の要件で、大きなパスワードの違い、5 つのパスワードの記憶履歴、および 90 日間のローテーション ポリシーを実施する 4 種類の文字から 8 文字が要求されるように設定します。

min=disabled,disabled,disabled,disabled,8 similar=deny

Security.PasswordHistory オプションを 5 に設定し、Security.PasswordMaxDays オプションを 90 に設定します。

ESXi のアカウント ロックアウトの動作

SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 5 回許容されています。デフォルトでは 15 分後に、アカウントのロックが解除されます。

ログイン動作の設定

ESXi ホストのログイン動作を設定するには、次の詳細オプションを使用します。
  • Security.AccountLockFailures。ログインが失敗し、ユーザー アカウントがロックされるまでの最大試行回数です。ゼロにすると、アカウントのロックは無効になります。
  • Security.AccountUnlockTime。ユーザーがロックアウトされる秒数です。
  • Security.PasswordHistory。ユーザーごとに記憶するパスワードの数。ゼロを指定すると、パスワード履歴は無効になります。

ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホストの管理』ドキュメントを参照してください。