ESXi ホストに対して、事前に定義された要件を満たすパスワードを使用する必要があります。Security.PasswordQualityControl の詳細オプションを使用して、パスワードの文字数や文字の種類の要件の変更や、パスフレーズの許可ができます。Security.PasswordHistory の詳細オプションを使用して、ユーザーごとに記憶するパスワードの数を設定することもできます。
ESXi のパスワード
ESXi では、ダイレクト コンソール ユーザー インターフェイス、ESXi Shell、SSH、または VMware Host Client を使用してアクセスするためのパスワード要件があります。
- パスワードを作成する際、デフォルトでは、小文字、大文字、数字、および特殊文字(アンダースコアやダッシュなど)の 4 種類の文字のうち 3 つ以上を混在させる必要があります。
- デフォルトでは、パスワードの長さは 7 文字以上 40 文字未満です。
- パスワードに、辞書ファイル内の単語または単語の一部を含めることはできません。
- パスワードには、ユーザー名またはユーザー名の一部を含めることはできません。
ESXi のパスワードの例
retry=3 min=disabled,disabled,disabled,7,7この設定では、新しいパスワードが十分に強力ではない場合、またはパスワードが 2 回正しく入力されなかった場合、ユーザーは最大 3 回 (retry=3) 入力を要求されます。1 種類または 2 種類の文字が含まれるパスワードと、パスフレーズは許可されません。これは、最初の 3 つのアイテムが無効に設定されているためです。パスワードには 3 種類および 4 種類の文字を使用し、7 文字の長さが必要です。 max、 passphrase など、その他のオプションの詳細については、 pam_passwdqc のメイン ページを参照してください。
- xQaTEhb!: 3 種類の文字を使用した 8 文字のパスワード。
- xQaT3#A: 4 種類の文字を使用した 7 文字のパスワード。
- Xqat3hi:先頭が大文字であるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
- xQaTEh2:数字で終わるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
ESXi のパスフレーズ
パスワードの代わりに、パスフレーズを使用することもできますが、パスフレーズはデフォルトで無効になっています。デフォルト設定やその他の設定を変更するには、vSphere Client から Security.PasswordQualityControl の詳細オプションを使用します。
たとえば、このオプションは次のように変更できます。
retry=3 min=disabled,disabled,16,7,7
この例では、最小で 16 文字を使用し、最小で 3 つの単語を含むパスフレーズを許可しています。
レガシー ホストで /etc/pam.d/passwd ファイルを変更することは引き続きサポートされますが、今後のリリースで、ファイル変更のサポートは廃止されます。代わりに、Security.PasswordQualityControl の詳細オプションを使用します。
デフォルトのパスワード制限の変更
パスワードまたはパスフレーズのデフォルトの制限を変更するには、ESXi ホストの Security.PasswordQualityControl 詳細オプションを使用します。ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホストの管理』を参照してください。
retry=3 min=disabled,disabled,15,7,7 passphrase=4詳細については、 pam_passwdqc の man ページを参照してください。
この例では、パスワードの複雑性の要件で、大きなパスワードの違い、5 つのパスワードの記憶履歴、および 90 日間のローテーション ポリシーを実施する 4 種類の文字から 8 文字が要求されるように設定します。
min=disabled,disabled,disabled,disabled,8 similar=deny
Security.PasswordHistory オプションを 5 に設定し、Security.PasswordMaxDays オプションを 90 に設定します。
ESXi のアカウント ロックアウトの動作
SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 5 回許容されています。デフォルトでは 15 分後に、アカウントのロックが解除されます。
ログイン動作の設定
- Security.AccountLockFailures。ログインが失敗し、ユーザー アカウントがロックされるまでの最大試行回数です。ゼロにすると、アカウントのロックは無効になります。
- Security.AccountUnlockTime。ユーザーがロックアウトされる秒数です。
- Security.PasswordHistory。ユーザーごとに記憶するパスワードの数。ゼロを指定すると、パスワード履歴は無効になります。
ESXi 詳細オプションの設定の詳細については、『vCenter Server およびホストの管理』ドキュメントを参照してください。