VMware Host Client でのパスワードとアカウントロックアウトポリシーの構成

ESXi ホストに対して、事前に定義された要件を満たすパスワードを使用する必要があります。必要なパスワード長の変更、文字の種類に関する要件の変更や、パスフレーズの許可を行う場合はすべて、Security.PasswordQualityControl の詳細オプションを使用します。Security.PasswordHistory の詳細オプションを使用して、ユーザーごとに記憶するパスワードの数を設定することもできます。Security.PasswordMaxDays 詳細オプションを使用すると、パスワード変更までの最大日数を設定できます。

注：デフォルトのパスワード設定を変更したら、必ず追加テストを実行してください。

誤った認証情報を使用してログインを試行した場合は、アカウントロックアウトポリシーによって、システムがアカウントをロックするタイミングと期間が指定されます。

ESXi のパスワード

ESXi により、アクセスに使用するパスワードの要件が適用されます。

デフォルトでは、パスワードを作成する際に、4 種類の異なる文字クラス、すなわち、小文字、大文字、数字、特殊文字（アンダースコアやダッシュなど）の中の任意の 3 つの文字を組み合わせる必要があります。
デフォルトでは、パスワードの長さは 7 文字以上、40 文字以下にする必要があります。
パスワードに、辞書ファイル内の単語または単語の一部を含めることはできません。
パスワードには、ユーザー名またはユーザー名の一部を含めることはできません。

注：

パスワードの先頭に大文字を使用する場合、これは文字の種類に含まれません。パスワードの末尾を数字にする場合、これは文字の種類に含まれません。

ESXi パスワードの例

ここでは、次のようにオプションが設定されている場合のパスワードの候補を示します。

retry=3 min=disabled,disabled,disabled,7,7

この設定では、新しいパスワードが十分に強力ではない場合、またはパスワードが 2 回正しく入力されなかった場合、ユーザーは最大 3 回 (retry=3) 入力を要求されます。1 種類または 2 種類の文字が含まれるパスワードと、パスワードフレーズは許可されません。これは、最初の 3 つのアイテムが無効に設定されているためです。パスワードには 3 種類および 4 種類の文字を使用し、7 文字の長さが必要です。

次のパスワード候補は、パスワードの要件を満たしています。

xQaTEhb!： 3 種類の文字を使用した 8 文字のパスワード。
xQaT3#A： 4 種類の文字を使用した 7 文字のパスワード。

次に示すパスワード候補は、パスワードの要件を満たしていません。

Xqat3hi：先頭が大文字であるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
xQaTEh2：数字で終わるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。

パスワード品質管理

Security.PasswordQualityControl 詳細オプションを使用して、パスワードの品質を管理できます。

Security.PasswordQualityControl は、次のパターンに従ういくつかの設定で構成されています。

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny


パスワード品質管理の設定	説明	デフォルト
`retry=N`	パスワードが正しくない場合や強度が十分でない場合に、ユーザーが新しいパスワードを入力する必要がある回数。	`retry=3`
`min=N0,N1,N2,N3,N4`	文字クラスとパスフレーズの最小長の要件。 `N0` は、1 つの文字クラスで構成されたパスワードの最小長です。 `N1` は、2 種類の文字で構成されたパスワードの最小長です。 `N2` はパスフレーズの最小長です。 `N3` は、3 種類の文字で構成されている場合の最小長です。 `N4` は、4 種類の文字で構成されている場合の最小長です。 disabled を使用して、指定した数の文字の種類を含むパスワードを許可しないようにすることができます。	`min=disabled,disabled,disabled,7,7`
`max=N`	許可される最大パスワード長。	`max=40`
`passphrase=N`	パスフレーズに必要な単語の数。`passphrase` が認識されるようにするには、`min` 設定の `N2` を disabled に設定しないでください。	`passphrase=3`
`similar=permit\|deny`	古いパスワードに似たパスワードを許可するかどうかを示します。この設定を使用するには、Security.PasswordHistory オプションをゼロ以外の値に設定してください。	`similar=deny`

ESXi パスフレーズ

パスワードの代わりに、パスフレーズを使用できます。パスフレーズはデフォルトで無効になっています。Security.PasswordQualityControl 詳細オプションを使用して、デフォルト設定を変更できます。

たとえば、このオプションは次のように変更できます。

retry=3 min=disabled,disabled,16,7,7

この例では、16 文字以上のパスフレーズを使用できます。パスフレーズは、スペースで区切られた 3 つ以上の単語で構成する必要があります。

パスワード履歴およびローテーションポリシーの例

5 つのパスワードの履歴を記憶するには、Security.PasswordHistory オプションを 5 に設定します。

90 日間のパスワードローテーションポリシーを適用するには、Security.PasswordMaxDays オプションを 90 に設定します。

ESXi アカウントロックアウトポリシー

連続した失敗の数が事前設定された回数に達すると、ユーザーはロックアウトされます。デフォルトでは、3 分間に連続して 5 回失敗するとユーザーはロックアウトされ、15 分後にロックアウトは自動的に解除されます。Security.AccountLockFailures および Security.AccountUnlockTime 詳細オプションを使用して、許可される最大失敗回数とユーザーアカウントのロックアウト期間を変更できます。

管理者パスワードとアカウントロックアウト動作を構成するには、次の手順を実行します。

手順

VMware Host Client インベントリ内で [管理] をクリックし、[詳細設定] をクリックします。

オプション	操作
必要なパスワードの長さ、文字の種類の要件、または許可パスフレーズを構成する	[検索] テキストボックスに「`Security.PasswordQualityControl`」と入力し、[検索] アイコンをクリックします。 Security.PasswordQualityControl を右クリックし、ドロップダウンメニューで [オプションの編集] を選択します。
ユーザーごとに記憶するパスワードの数を構成する	[検索] テキストボックスに「`Security.PasswordHistory`」と入力し、[検索] アイコンをクリックします。 Security.PasswordHistory を右クリックし、ドロップダウンメニューで [オプションの編集] を選択します。注：ゼロを指定すると、パスワード履歴は無効になります。
パスワード変更までの最大日数を構成する	[検索] テキストボックスに「`Security.PasswordMaxDays`」と入力し、[検索] アイコンをクリックします。 Security.PasswordMaxDays を右クリックし、ドロップダウンメニューで [オプションの編集] を選択します。
ロックアウトするまでに許可されるログイン試行失敗の最大回数を構成する	[検索] テキストボックスに「`Security.AccountLockFailures`」と入力し、[検索] アイコンをクリックします。 Security.AccountLockFailures を右クリックし、ドロップダウンメニューで [オプションの編集] を選択します。注：ゼロ (0) にすると、アカウントのロックは無効になります。
ユーザーのアカウントがロックアウトされる期間を構成する	[検索] テキストボックスに「`Security.AccountUnlockTime`」と入力し、[検索] アイコンをクリックします。 Security.AccountUnlockTime を右クリックし、ドロップダウンメニューで [オプションの編集] を選択します。

[オプションの編集] ダイアログボックスが開きます。

[新しい値]テキストボックスに新しい設定を入力します。
[保存] をクリックします。
（オプション） キー設定をデフォルトにリセットするには、リスト内の該当するキーを右クリックし、[デフォルトにリセット] を選択します。