VMware Host Client を使用して、ホストの詳細設定の管理、ホストの証明書の割り当てまたは削除、ホスト サービスの開始ポリシーと停止ポリシーの構成、ホストの日時構成の管理を実行できます。
VMware Host Client での詳細設定の管理
VMware Host Client を使用して、ホストの設定を変更できます。
手順
ダイレクト コンソール ユーザー インターフェイスおよび VMware Host Client に対する最初のウェルカム メッセージの作成
VMware Host Client を使用して、ダイレクト コンソール ユーザー インターフェイス (DCUI) の最初の画面および VMware Host Client のログイン ウィンドウに表示されるウェルカム メッセージを作成できます。VMware Host Client にログインした後に表示されるウェルカム メッセージを作成し、ウェルカム メッセージを表示するかどうかを決定することもできます。
手順
- VMware Host Client インベントリ内で [管理] をクリックし、[詳細設定] をクリックします。
オプション 操作 DCUI および VMware Host Client にログインする前に表示されるウェルカム メッセージの作成 - [検索] テキスト ボックスに「Annotations.WelcomeMessage」と入力し、[検索] アイコンをクリックします。
- Annotations.WelcomeMessage を右クリックし、ドロップダウン メニューで [オプションの編集] を選択します。
[オプションの編集] ダイアログ ボックスが開きます。
- [新しい値] テキスト ボックスに、ウェルカム メッセージを入力します。
デフォルトのメッセージを設定するには、[新しい値] テキスト ボックスを空にしておきます。
VMware Host Client にログインした後に表示されるウェルカム メッセージの作成 - [検索] テキスト ボックスに「UserVars.HostClientWelcomeMessage」と入力し、[検索] アイコンをクリックします。
- UserVars.HostClientWelcomeMessage を右クリックし、ドロップダウン メニューで [オプションの編集] を選択します。
[オプションの編集] ダイアログ ボックスが開きます。
- [新しい値] テキスト ボックスに、ウェルカム メッセージを入力します。
デフォルトのメッセージを設定するには、[新しい値] テキスト ボックスを空にしておきます。
VMware Host Client にログインした後のウェルカム メッセージの表示の有効化または無効化 - [検索] テキスト ボックスに「UserVars.HostClientEnableMOTDNotification」と入力し、[検索] アイコンをクリックします。
- UserVars.HostClientEnableMOTDNotification を右クリックし、ドロップダウン メニューで [オプションの編集] を選択します。
[オプションの編集] ダイアログ ボックスが開きます。
- [新しい値]テキスト ボックスに新しい値を入力します。
ゼロ (0) の値を指定すると、ウェルカム メッセージの表示が無効になります。
1 の値を指定すると、ウェルカム メッセージの表示が有効になります。
- [保存] をクリックします。
- (オプション) キー設定をデフォルトにリセットするには、リスト内の該当するキーを右クリックし、[デフォルトにリセット] を選択します。
VMware Host Client ユーザー インターフェイス セッション タイムアウトの構成
VMware Host Client では、ユーザー インターフェイス セッションが自動的に 15 分ごとにタイムアウトするため、VMware Host Client に再度ログインする必要があります。
詳細構成パラメータを変更して、デフォルトのアクティビティ停止のタイムアウトを増やすことができます。デフォルト値は 900 秒です。
手順
- ♦ ユーザー インターフェイス セッション タイムアウトを構成します。
オプション 操作 VMware Host Client の詳細設定から - VMware Host Client インベントリ内で [管理] をクリックし、[詳細設定] をクリックします。
- [検索] テキスト ボックスに「UserVars.HostClientSessionTimeout」と入力し、[検索] アイコンをクリックします。
- UserVars.HostClientSessionTimeout を右クリックし、ドロップダウン メニューで [オプションの編集] を選択します。
[オプションの編集] ダイアログ ボックスが開きます。
- [新しい値] テキスト ボックスに、タイムアウト設定を秒単位で入力します。
注: ゼロ (0) の値を指定すると、タイムアウトが無効になります。
- [保存] をクリックします。
- (オプション) キー設定をデフォルトにリセットするには、リスト内の該当するキーを右クリックし、[デフォルトにリセット] を選択します。
[ユーザー設定] ドロップダウン メニューから - VMware Host Client ウィンドウの上部でユーザー名をクリックし、 の順に選択します。
- アクティビティ停止のタイムアウトを指定するには、時間を選択します。
- アクティビティ停止のタイムアウトを無効にするには、Off を選択します。
VMware Host Client での SOAP セッション タイムアウトの構成
VMware Host Client で、SOAP セッションのタイムアウトを構成できます。
手順
VMware Host Client でのパスワードとアカウント ロックアウト ポリシーの構成
ESXi ホストに対して、事前に定義された要件を満たすパスワードを使用する必要があります。必要なパスワード長の変更、文字の種類に関する要件の変更や、パスフレーズの許可を行う場合はすべて、Security.PasswordQualityControl の詳細オプションを使用します。Security.PasswordHistory の詳細オプションを使用して、ユーザーごとに記憶するパスワードの数を設定することもできます。この設定により、重複するパスワードや類似するパスワードの使用を防止できます。Security.PasswordMaxDays 詳細オプションを使用すると、パスワード変更までの最大日数を設定できます。
誤った認証情報を使用してログインを試行した場合は、アカウント ロックアウト ポリシーによって、システムがアカウントをロックするタイミングと期間が指定されます。
- ESXi のパスワード
-
ESXi により、アクセスに使用するパスワードの要件が適用されます。
- デフォルトでは、パスワードを作成する際に、4 種類の異なる文字クラス、すなわち、小文字、大文字、数字、特殊文字(アンダースコアやダッシュなど)の中の任意の 3 つの文字を組み合わせる必要があります。
- デフォルトでは、パスワードの長さは 7 文字以上、40 文字以下にする必要があります。
- パスワードに、辞書ファイル内の単語または単語の一部を含めることはできません。
- パスワードには、ユーザー名またはユーザー名の一部を含めることはできません。
- ESXi パスワードの例
-
ここでは、次のようにオプションが設定されている場合のパスワードの候補を示します。
retry=3 min=disabled,disabled,disabled,7,7
この設定では、新しいパスワードが十分に強力ではない場合、またはパスワードが 2 回正しく入力されなかった場合、ユーザーは最大 3 回 (retry=3) 入力を要求されます。1 種類または 2 種類の文字が含まれるパスワードと、パスワード フレーズは許可されません。これは、最初の 3 つのアイテムが無効に設定されているためです。パスワードには 3 種類および 4 種類の文字を使用し、7 文字の長さが必要です。
次のパスワード候補は、パスワードの要件を満たしています。
- xQaTEhb!: 3 種類の文字を使用した 8 文字のパスワード。
- xQaT3#A: 4 種類の文字を使用した 7 文字のパスワード。
次に示すパスワード候補は、パスワードの要件を満たしていません。
- Xqat3hi:先頭が大文字であるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
- xQaTEh2:数字で終わるため、有効な文字クラスの数が 2 に減っています。パスワードには、3 種類以上の文字を使用する必要があります。
- パスワード品質管理
-
Security.PasswordQualityControl 詳細オプションを使用して、パスワードの品質を管理できます。
Security.PasswordQualityControl は、次のパターンに従ういくつかの設定で構成されています。
retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
パスワード品質管理の設定 説明 デフォルト retry=N
パスワードが正しくない場合や強度が十分でない場合に、ユーザーが新しいパスワードを入力する必要がある回数。 retry=3
min=N0,N1,N2,N3,N4
文字クラスとパスフレーズの最小長の要件。 N0
は、1 つの文字クラスで構成されたパスワードの最小長です。N1
は、2 種類の文字で構成されたパスワードの最小長です。N2
はパスフレーズの最小長です。N3
は、3 種類の文字で構成されている場合の最小長です。N4
は、4 種類の文字で構成されている場合の最小長です。
min=disabled,disabled,disabled,7,7
max=N
許可される最大パスワード長。 max=40
passphrase=N
パスフレーズに必要な単語の数。 passphrase
が認識されるようにするには、min
設定のN2
を disabled に設定しないでください。passphrase=3
similar=permit|deny
古いパスワードに似たパスワードを許可するかどうかを示します。この設定を使用するには、Security.PasswordHistory オプションをゼロ以外の値に設定してください。 vSphere 8.0 Update 1 以降では、デフォルト値は 5 です。
similar=deny
- ESXi パスフレーズ
-
パスワードの代わりに、パスフレーズを使用できます。パスフレーズはデフォルトで無効になっています。Security.PasswordQualityControl 詳細オプションを使用して、デフォルト設定を変更できます。
たとえば、このオプションは次のように変更できます。
retry=3 min=disabled,disabled,16,7,7
この例では、16 文字以上のパスフレーズを使用できます。パスフレーズは、スペースで区切られた 3 つ以上の単語で構成する必要があります。
- パスワード履歴およびローテーション ポリシーの例
-
6 つのパスワードの履歴を記憶するには、Security.PasswordHistory オプションを 6 に設定します。
90 日間のパスワード ローテーション ポリシーを適用するには、Security.PasswordMaxDays オプションを 90 に設定します。
- ESXi アカウント ロックアウト ポリシー
-
連続した失敗の数が事前設定された回数に達すると、ユーザーはロックアウトされます。デフォルトでは、3 分間に連続して 5 回失敗するとユーザーはロックアウトされ、15 分後にロックアウトは自動的に解除されます。Security.AccountLockFailures および Security.AccountUnlockTime 詳細オプションを使用して、許可される最大失敗回数とユーザー アカウントのロックアウト期間を変更できます。
管理者パスワードとアカウント ロックアウト動作を構成するには、次の手順を実行します。
手順
VMware Host Client での Syslog の構成
Syslog サービスを構成するには、VMware Host Client を使用します。
手順
TLS/SSL キーの詳細オプションの構成
ESXi ホストとの通信を暗号化するために使用されるセキュリティ プロトコルと暗号化アルゴリズムを構成できます。
詳細については、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/79476) を参照してください。
トランスポート レイヤー セキュリティ (TLS) キーは、TLS プロトコルを使用してホストとの通信を保護します。最初の起動時に、ESXi ホストは TLS キーを 2048 ビットの RSA キーとして生成します。現在、ESXi は TLS 用 ECDSA キーの自動生成を実装していません。TLS プライベート キーは、管理者が処理するものではありません。
SSH キーは、SSH プロトコルを使用して、ESXi ホストとの通信を保護します。最初の起動時に、SSH キーは 2048 ビットの RSA キーとして生成されます。SSH サーバはデフォルトで無効になっています。SSH アクセスは、主にトラブルシューティングを目的としています。SSH キーは、管理者が処理するものではありません。SSH を使用してログインするには、完全なホスト制御と同等の管理者権限が必要になります。SSH アクセスを有効にする手順については、VMware Host Client でのセキュア シェル (SSH) の有効化を参照してください。
キー | デフォルト | 説明 |
---|---|---|
UserVars.ESXiVPsAllowedCiphers | !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES | デフォルトの暗号制御文字列。 |
Config.HostAgent.ssl.keyStore.allowAny | False | ESXi CA トラスト ストアに任意の証明書を追加できます。 |
Config.HostAgent.ssl.keyStore.allowSelfSigned | False | CA 以外の自己署名証明書、つまり CA ビット セットが含まれていない証明書を ESXi CA トラスト ストアに追加できます。 |
Config.HostAgent.ssl.keyStore.discardLeaf | True | ESXi CA トラスト ストアに追加されたリーフ証明書を破棄します。 |
ESXi のセキュリティ キーを設定するには、次の手順を実行します。
手順
UserWorld メモリ ゼロクリアの構成
VMware Host Client では、Mem.MemEagerZero 詳細オプションを使用して、仮想マシンおよびユーザー領域アプリケーションのページをゼロクリアする方法を決定できます。
仮想マシンおよびユーザー領域アプリケーションにページを割り当てるときに、すべてのページをゼロクリアするには、Mem.MemEagerZero を 1 に設定します。メモリが再利用されない場合は、この設定により、メモリ内の以前のコンテンツを保持したまま仮想マシンまたはユーザー領域アプリケーションから他のクライアントに情報を公開することができなくなります。
- 仮想マシンがパワーオフ状態である。
- 仮想マシンのページが移行される。
- ESXi ホストで、仮想マシンのメモリが再利用される。
仮想マシンの詳細オプションの設定方法については、『vSphere リソース管理』ドキュメントを参照してください。
UserWorld メモリのゼロクリアを構成するには、次の手順を実行します。
手順
VMware Host Client での、自動起動設定の変更
ESXi ホストの自動起動オプションを設定して、ホストの起動および停止時にセットアップが行われるようにします。
手順
VMware Host Client での ESXi ホストの時間設定の編集
VMware Host Client を使用すると、ホストの時間を手動で設定することも、ホストの日時を NTP または PTP サーバと同期することもできます。NTP は、ミリ秒単位の精度を提供し、PTP はマイクロ秒単位の精度を維持します。
ホストの NTP サービスは、NTP サーバーから時刻と日付を定期的に取得します。[開始]、[停止]、または [再開] ボタンを使用して、NTP サービス用に選択した起動ポリシーに関係なく、いつでもホストの NTP サービスの状態を変更できます。
PTP は、ネットワーク内の仮想マシンに正確な時刻同期をプロビジョニングします。ホストの PTP サービスは、[開始]、[停止]、または [再開] の各ボタンを使用して、いつでも変更できます。PTP サービスを開始または停止すると、PTP が自動的に有効または無効になります。PTP を手動で有効または無効にする場合に変更を適用するには、PTP サービスを開始または停止します。
サービスの詳細については、VMware Host Client でのサービスの管理を参照してください。
手順
- VMware Host Client インベントリの [管理] をクリックします。
- [システム] タブで、[時刻と日付] をクリックします。
- ホストの時刻と日付を設定します。
オプション 操作 このホストの日付および時刻を手動で構成します - [NTP 設定の編集] をクリックします。
[NTP 設定の編集] ダイアログ ボックスが表示されます。
- ホストの時刻と日付を手動で設定します。
- [保存] をクリックします。
Network Time Protocol を使用 (NTP クライアントを有効にする) - [NTP 設定の編集] をクリックします。
[NTP 設定の編集] ダイアログ ボックスが表示されます。
- [ネットワーク時間プロトコルを使用] ラジオ ボタンを選択します。
- [NTP サーバ] テキスト ボックスに、使用する NTP サーバの IP アドレスまたはホスト名を入力します。
- [NTP サービス起動ポリシー] ドロップダウン メニューで、ホストで NTP サービスを開始および停止する場合のオプションを選択します。
- [ポートの使用状況にしたがって起動および停止]。ホストのセキュリティ プロファイルでアクセス用の NTP クライアント ポートが有効化または無効化されると、NTP サービスを起動または停止します。
- [ホストと連動して起動および停止]。ホストのパワーオンおよびシャットダウン時に NTP サービスを開始および停止します。
- [手動で開始および停止]。手動での NTP サービスの開始および停止を有効にします。[手動で開始および停止] ポリシーを選択した場合、NTP サービスの状態は、ユーザーがユーザー インターフェイス コントロールを使用するときにのみ変更されます。
- [保存] をクリックします。
Precision Time Protocol を使用(PTP クライアントを有効にする) - [PTP 設定の編集] をクリックします。
- [有効化] チェック ボックスを選択します。
- [ネットワーク インターフェイス] ドロップダウン メニューから、ネットワーク インターフェイスを選択します。
IPv4 とサブネットマスクが表示されます。
- [保存] をクリックします。
- [NTP 設定の編集] をクリックします。