vCenter Single Sign-On ポリシーは一般的に、ローカル アカウントとトークンのセキュリティ ルールを適用します。vCenter Single Sign-On のデフォルトのパスワード ポリシー、ロックアウト ポリシー、およびトークン ポリシーは表示および編集できます。

vCenter Single Sign-Onのパスワード ポリシーの編集

vCenter Single Sign-Onのパスワード ポリシーは、パスワードの形式と有効期限を決定します。パスワード ポリシーは vCenter Single Sign-Onドメイン (vsphere.local) 内のユーザーにのみ適用されます。

デフォルトでは、vCenter Single Sign-Onの組み込みユーザー アカウントのパスワードは 90 日で有効期限が切れます。パスワードの有効期限が近づくと、vSphere Clientが通知します。

vCenter Single Sign-On パスワードの変更を参照してください。
注: 管理者アカウント ([email protected]) はロックアウトされず、パスワードも有効期限切れになりません。適切なセキュリティ対策は、このアカウントからのログインを監査し、パスワードを定期的に変更することです。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  4. [ローカル アカウント] タブをクリックします。
  5. [パスワード ポリシー] 行の [編集] をクリックします。
  6. パスワード ポリシーを編集します。
    オプション 説明
    説明 パスワード ポリシーの説明。
    最長有効期間 ユーザーが変更するまでのパスワードの最大有効期間。入力できる日数の最大値は 999999999 です。ゼロ (0) を指定すると、パスワードは期限切れになりません。
    再利用を制限 再利用できない過去に設定したパスワードの数。たとえば 6 と入力すると、ユーザーは過去に使用した直近 6 つのいずれのパスワードも再利用できません。
    最大長 パスワードで使用できる最大文字数。
    最小長 パスワードに必要な最小文字数。最小長は、アルファベット、数字、および特殊文字の最小要件を組み合わせた文字数以上であることが必要です。
    文字要件
    パスワードに必要なさまざまな文字タイプの最小数。各タイプの文字の数は、次のように指定できます。
    • 特殊: & # %
    • アルファベット: A b c D
    • 大文字: A B C
    • 小文字: a b c
    • 数字: 1 2 3
    • 隣接する同一値:値は 0 より大きくする必要があります。たとえば 1 と入力すると、「p@$$word」というパスワードは許可されません。

    アルファベット文字の最小数は、大文字および小文字で指定した数の合計以上にする必要があります。

    ASCII 以外の文字もパスワードに使用できます。以前のバージョンの vCenter Single Sign-Onには、サポートされる文字に制限があります。

    注: パスワード ポリシーは、最小長が 20 文字を超える場合にのみ、最大長の値を取得します。最小長の値が 20 文字を超え、最大長が任意の値に設定されている場合、パスワード ポリシーの動作が未定義になるか、サービスの停止が発生する可能性があります。潜在的な問題を回避するには、最小長をデフォルト値の 8 文字または 20 文字以下に設定します。
  7. [保存] をクリックします。

vCenter Single Sign-On のロックアウト ポリシーの編集

vCenter Single Sign-On のロックアウト ポリシーを使用すると、ユーザーが誤った認証情報でログインしようとしたときに、そのユーザーの vCenter Single Sign-On アカウントをロックするタイミングを指定できます。管理者はロックアウト ポリシーを編集できます。

ユーザーが vsphere.local に誤ったパスワードで何度もログインした場合、そのユーザーはロックアウトされます。ロックアウト ポリシーでは、管理者はログイン試行の失敗の最大回数と、ロックが解除されるまでの時間を設定できます。このポリシーは、アカウントが自動的にロック解除されるまでの時間も指定できます。
注: ロックアウト ポリシーはユーザー アカウントにのみ適用され、[email protected] などのシステム アカウントには適用されません。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  4. [ローカル アカウント] タブをクリックします。
  5. [ロックアウト ポリシー] 行の [編集] をクリックします。
    [ロックアウト ポリシー] 行が表示されるまでスクロールが必要な場合があります。
  6. パラメータを編集します。
    オプション 説明
    [説明] ロックアウト ポリシーの説明(オプション)。
    [失敗した最大ログイン試行回数] アカウントがロックアウトされるまでのログイン試行失敗が許可される最大回数。
    [ロックが解除されるまでの時間] ロックアウトをトリガするための失敗したログイン試行間の時間。
    [ロック解除時間] アカウントがロックされ続けている時間。0 を入力すると、管理者は明示的にアカウントをロック解除しなければなりません。
  7. [保存] をクリックします。

vCenter Single Sign-On のトークン ポリシーの編集

vCenter Single Sign-On トークン ポリシーには、クロック トレランス、更新数などのトークンのプロパティを指定します。トークンの仕様が企業のセキュリティ標準に準拠するように、トークン ポリシーを編集できます。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  4. [ローカル アカウント] タブをクリックします。
  5. [トークンの信頼性] 行の [編集] をクリックします。
    [トークンの信頼性] 行が表示されるまでスクロールが必要な場合があります。
  6. トークン ポリシー構成パラメータを編集します。
    オプション 説明
    クロック トレランス vCenter Single Sign-On が許容するクライアント クロックとドメイン コントローラ クロック間のミリ秒単位の時差。時差が指定値を上回る場合、vCenter Single Sign-On により、トークンが無効であることが宣言されます。
    トークンの最大更新数 トークンが更新できる最大回数です。更新の試行が最大回数を超えると、新しいセキュリティ トークンが必要になります。
    トークンの最大委任数 キーホルダ トークンは、vSphere 環境のサービスに委任できます。委任されたトークンを使用するサービスは、トークンを提供したプリンシパルの代わりにサービスを実行します。トークン要求は、DelegateTo IDを指定します。DelegateTo 値は、ソリューション トークンまたはソリューション トークンへのリファレンスにすることができます。この値では、1 つのキーホルダ トークンを委任できる回数を指定します。
    ベアラー トークンの有効期間 ベアラ トークンは、トークンの所有のみに基づいて認証を実行します。ベアラ トークンは、短期的な 1 回限りの操作の時に使用します。ベアラ トークンは、要求を送信しているユーザーまたはエンティティの ID 確認は行いません。この値では、ベアラ トークンを再発行するまでの有効期間の値を指定します。
    Holder-of-Key (HOK) トークンの有効期間 キーホルダ トークンは、トークンに組み込まれたセキュリティ製造物に基づいて認証を行います。キーホルダ トークンは委任用に使用できます。クライアントはキーホルダ トークンを取得して、そのトークンを別のエンティティに委任できます。トークンには、委任元と委任先を識別するための請求権が含まれています。vSphere 環境で、vCenter Server システムはユーザーの代わりに委任済みトークンを取得し、これらのトークンを使用して処理を実行します。

    この値によって、キーホルダ トークンが無効とマークされるまでの有効期間が決まります。

  7. [保存] をクリックします。

Active Directory(統合 Windows 認証)ユーザーへのパスワード有効期限の通知の編集

Active Directory のパスワード有効期限の通知は、vCenter ServerSSO パスワードの有効期限とは別のものです。Active Directory ユーザーへのデフォルトのパスワード有効期限の通知期間は 30 日ですが、実際のパスワード有効期限は、Active Directory システムによって異なります。vSphere Clientは有効期限の通知を制御します。デフォルトの有効期限の通知は、自社のセキュリティ標準に合わせて変更できます。

前提条件

手順

  1. vCenter Serverシェルに、管理者権限を持つユーザーでログインします。
    スーパー管理者ロールが割り当てられているデフォルトのユーザーは root です。
  2. ディレクトリを vSphere Clientwebclient.properties ファイルの場所に変更します。 
    cd /etc/vmware/vsphere-ui
  3. テキスト エディタで webclient.properties ファイルを開きます。
  4. 次の変数を編集します。 
    sso.pending.password.expiration.notification.days = 30
  5. vSphere Clientを再起動します。 
    service-control --stop vsphere-ui
service-control --start vsphere-ui