ESXi 호스트에 대해 미리 정의된 요구 사항이 있는 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 옵션을 사용하여 암호 문구를 허용하거나 필수 길이 및 문자 클래스 요구 사항을 변경할 수 있습니다.

ESXi에서는 암호 관리 및 제어를 위해 Linux PAM 모듈 pam_passwdqc를 사용합니다. 자세한 정보는 pam_passwdqc의 manpage를 참조하십시오.

참고:

ESXi 암호에 대한 기본 요구 사항은 특정 릴리스에서 다음 릴리스로 변경될 수 있습니다. Security.PasswordQualityControl 고급 옵션을 사용하여 기본 암호 제한을 확인 및 변경할 수 있습니다.

ESXi 암호

ESXi에서는 DCUI(Direct Console User Interface), ESXi Shell, SSH 또는 vSphere Client로부터의 액세스에 대해 암호 요구 사항을 적용합니다. 기본적으로 암호를 생성할 때 소문자, 대문자, 숫자 및 특수 문자(예: 밑줄 또는 대시)와 같은 4개의 문자 클래스의 문자 조합을 포함해야 합니다.

참고:

암호를 시작할 때의 대문자는 사용된 문자 클래스 수에 포함되지 않습니다. 암호가 끝날 때의 숫자도 사용된 문자 클래스 수에 포함되지 않습니다.

사전에 나오는 단어 또는 사전에 나오는 단어의 일부를 암호에 사용할 수 없습니다.

ESXi 암호 예

다음 암호 후보는 옵션이 다음과 같이 설정되었을 때 설정 가능한 암호를 보여 줍니다.

retry=3 min=disabled,disabled,disabled,7,7

이 설정에서는 처음 3개 항목이 사용되지 않도록 설정되기 때문에 1개 또는 2개의 문자 클래스 및 암호 문구가 있는 암호가 허용되지 않습니다. 3개 및 4개의 문자 클래스의 암호에는 7개의 문자가 필요합니다. 자세한 내용은 pam_passwdqc manpage를 참조하십시오.

이러한 설정에서는 다음 암호가 허용됩니다.

  • xQaTEhb!: 세 가지 문자 클래스의 문자 8개를 포함합니다.

  • xQaT3#A: 네 가지 문자 클래스의 문자 7개를 포함합니다.

다음 암호 후보는 요구 사항을 충족하지 않습니다.

  • Xqat3hi: 대문자로 시작되기 때문에 유효한 문자 클래스 수가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.

  • xQaTEh2: 숫자로 끝나기 때문에 유효한 문자 클래스가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.

ESXi 암호 문구

암호 대신 암호 문구를 사용할 수도 있지만 암호 문구는 기본적으로 사용되지 않도록 설정됩니다. vSphere Web Client에서 Security.PasswordQualityControl 고급 옵션을 사용하여 이 설정 또는 다른 설정을 변경할 수 있습니다.

예를 들어 옵션을 다음으로 변경할 수 있습니다.

retry=3 min=disabled,disabled,16,7,7

이 예에서는 공백으로 구분된 최소 16자 및 최소 3단어의 암호 문구를 허용합니다.

레거시 호스트의 경우 /etc/pamd/passwd 파일 변경이 계속 지원되지만 이후 릴리스에서는 더 이상 지원되지 않습니다. 대신 Security.PasswordQualityControl 고급 옵션을 사용합니다.

기본 암호 제한 변경

ESXi 호스트에 대해 Security.PasswordQualityControl 고급 옵션을 사용하여 암호 또는 암호 문구에 대한 기본 제한을 변경할 수 있습니다. ESXi 고급 옵션 설정에 대한 자세한 내용은 vCenter Server 및 호스트 관리 설명서를 참조하십시오.

예를 들어, 다음과 같이 최소 15개의 문자와 최소 4개의 단어가 필요하도록 기본값을 변경할 수 있습니다.

retry=3 min=disabled,disabled,15,7,7 passphrase=4

자세한 내용은 pam_passwdqc의 manpage를 참조하십시오.

참고:

pam_passwdqc에 대한 가능한 모든 옵션의 조합이 테스트되지는 않았습니다. 기본 암호 설정을 변경한 후 추가 테스트를 수행합니다.

ESXi 계정 잠금 동작

vSphere 6.0부터 SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다. 기본적으로, 계정이 잠기기 전에 최대 10번의 시도 실패가 허용되고 2분 후에는 계정에 대한 잠금이 해제됩니다.

로그인 동작 구성

다음 고급 옵션을 사용하여 ESXi 호스트에 대한 로그인 동작을 구성할 수 있습니다.

  • Security.AccountLockFailures. 사용자 계정이 잠길 때까지 허용되는 최대 로그인 시도 실패 횟수입니다. 0으로 설정하면 계정 잠금 사용이 해제됩니다.

  • Security.AccountUnlockTime. 사용자가 잠기게 되는 시간(초)입니다.

ESXi 고급 옵션 설정에 대한 자세한 내용은 vCenter Server 및 호스트 관리 설명서를 참조하십시오.