ESXi 호스트에 대해 미리 정의된 요구 사항이 있는 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 옵션을 사용하여 암호 문구를 허용하거나 필수 길이 및 문자 클래스 요구 사항을 변경할 수 있습니다.
ESXi 암호
ESXi에서는 DCUI(Direct Console User Interface), ESXi Shell, SSH 또는 VMware Host Client로부터의 액세스에 대해 암호 요구 사항을 적용합니다.
- 기본적으로 암호를 생성할 때 소문자, 대문자, 숫자 및 특수 문자(예: 밑줄 또는 대시)와 같은 4개의 문자 클래스의 문자 조합을 포함해야 합니다.
- 기본적으로 암호 길이는 7보다 길고 40보다 작습니다.
- 사전에 나오는 단어 또는 사전에 나오는 단어의 일부를 암호에 사용할 수 없습니다.
ESXi 암호 예
retry=3 min=disabled,disabled,disabled,7,7이 설정에서는 처음 3개 항목이 사용되지 않도록 설정되기 때문에 1개 또는 2개의 문자 클래스 및 암호 문구가 있는 암호가 허용되지 않습니다. 3개 및 4개의 문자 클래스의 암호에는 7개의 문자가 필요합니다. 자세한 내용은 pam_passwdqc 매뉴얼 페이지를 참조하십시오.
- xQaTEhb!: 세 가지 문자 클래스의 문자 8개를 포함합니다.
- xQaT3#A: 네 가지 문자 클래스의 문자 7개를 포함합니다.
- Xqat3hi: 대문자로 시작되기 때문에 유효한 문자 클래스 수가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
- xQaTEh2: 숫자로 끝나기 때문에 유효한 문자 클래스가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
ESXi 암호 문구
암호 대신 암호 문구를 사용할 수도 있지만 암호 문구는 기본적으로 사용되지 않도록 설정됩니다. vSphere Web Client에서 Security.PasswordQualityControl 고급 옵션을 사용하여 이 설정 또는 다른 설정을 변경할 수 있습니다.
예를 들어 옵션을 다음으로 변경할 수 있습니다.
retry=3 min=disabled,disabled,16,7,7
이 예에서는 공백으로 구분된 최소 16자 및 최소 3단어의 암호 문구를 허용합니다.
레거시 호스트의 경우 /etc/pamd/passwd 파일 변경이 계속 지원되지만 이후 릴리스에서는 더 이상 지원되지 않습니다. 대신 Security.PasswordQualityControl 고급 옵션을 사용합니다.
기본 암호 제한 변경
ESXi 호스트에 대해 Security.PasswordQualityControl 고급 옵션을 사용하여 암호 또는 암호 문구에 대한 기본 제한을 변경할 수 있습니다. ESXi 고급 옵션 설정에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.
retry=3 min=disabled,disabled,15,7,7 passphrase=4자세한 내용은 pam_passwdqc의 매뉴얼 페이지를 참조하십시오.
ESXi 계정 잠금 동작
vSphere 6.0부터 SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다. 기본적으로, 계정이 잠기기 전에 최대 10번의 시도 실패가 허용되고 2분 후에는 계정에 대한 잠금이 해제됩니다.
로그인 동작 구성
- Security.AccountLockFailures. 사용자 계정이 잠길 때까지 허용되는 최대 로그인 시도 실패 횟수입니다. 0으로 설정하면 계정 잠금 사용이 해제됩니다.
- Security.AccountUnlockTime. 사용자가 잠기게 되는 시간(초)입니다.
ESXi 고급 옵션 설정에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.