ESXi 호스트에 대해 미리 정의된 요구 사항이 있는 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 옵션을 사용하여 암호 문구를 허용하거나 필수 길이 및 문자 클래스 요구 사항을 변경할 수 있습니다. Security.PasswordHistory 고급 옵션을 사용하여 각 사용자에 대해 기억할 암호 수도 설정할 수 있습니다.

참고: ESXi 암호에 대한 기본 요구 사항은 특정 릴리스에서 다음 릴리스로 변경될 수 있습니다. Security.PasswordQualityControl 고급 옵션을 사용하여 기본 암호 제한을 확인 및 변경할 수 있습니다.

ESXi 암호

ESXi에서는 DCUI(Direct Console User Interface), ESXi Shell, SSH 또는 VMware Host Client로부터의 액세스에 대해 암호 요구 사항을 적용합니다.

  • 기본적으로 암호를 생성할 때는 소문자, 대문자, 숫자, 특수 문자(예: 밑줄 또는 대시)의 네 가지 문자 클래스 중 세 가지 이상을 혼합하여 포함해야 합니다.
  • 기본적으로 암호 길이는 7자 이상 40자 미만입니다.
  • 암호에는 사전에 나오는 단어 또는 사전에 나오는 단어의 일부를 포함하면 안 됩니다.
  • 암호에는 사용자 이름이나 사용자 이름의 일부가 포함되어서는 안 됩니다.
참고: 암호를 시작할 때의 대문자는 사용된 문자 클래스 수에 포함되지 않습니다. 암호가 끝날 때의 숫자도 사용된 문자 클래스 수에 포함되지 않습니다. 암호 내에 사전 단어가 사용되면 전반적인 암호 강도가 감소됩니다.

ESXi 암호 예

다음 암호 후보는 옵션이 다음과 같이 설정되었을 때 설정 가능한 암호를 보여 줍니다. 
retry=3 min=disabled,disabled,disabled,7,7
이 설정을 사용하면 암호가 충분히 강력하지 않거나 암호가 올바르게 두 번 입력되지 않은 경우 새 암호를 입력하라는 메시지가 사용자에게 최대 세 번(retry=3) 표시됩니다. 처음 3개 항목이 사용되지 않도록 설정되기 때문에 1개 또는 2개의 문자 클래스 및 암호 문구가 있는 암호는 허용되지 않습니다. 3개 및 4개의 문자 클래스의 암호에는 7개의 문자가 필요합니다. 다른 옵션(예: max, passphrase 등)에 대한 자세한 내용은 pam_passwdqc man 페이지를 참조하십시오.
이러한 설정에서는 다음 암호가 허용됩니다.
  • xQaTEhb!: 세 가지 문자 클래스의 문자 8개를 포함합니다.
  • xQaT3#A: 네 가지 문자 클래스의 문자 7개를 포함합니다.
다음 암호 후보는 요구 사항을 충족하지 않습니다.
  • Xqat3hi: 대문자로 시작되기 때문에 유효한 문자 클래스 수가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
  • xQaTEh2: 숫자로 끝나기 때문에 유효한 문자 클래스가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.

ESXi 암호 문구

암호 대신 암호 문구를 사용할 수도 있습니다. 단, 암호 문구는 기본적으로 사용하지 않도록 설정되어 있습니다. vSphere Client에서 Security.PasswordQualityControl 고급 옵션을 사용하여 기본 설정 및 기타 설정을 변경할 수 있습니다.

예를 들어 옵션을 다음으로 변경할 수 있습니다. 

retry=3 min=disabled,disabled,16,7,7

이 예에서는 최소 16자 및 최소 3개 단어의 암호 문구를 허용합니다.

레거시 호스트의 경우 /etc/pam.d/passwd 파일 변경이 계속 지원되지만 이후 릴리스에서는 더 이상 지원되지 않습니다. 대신 Security.PasswordQualityControl 고급 옵션을 사용합니다.

기본 암호 제한 변경

ESXi 호스트에 대해 Security.PasswordQualityControl 고급 옵션을 사용하여 암호 또는 암호 문구에 대한 기본 제한을 변경할 수 있습니다. ESXi 고급 옵션 설정에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.

예를 들어, 다음과 같이 최소 15개의 문자와 최소 4개의( passphrase=4) 단어가 필요하도록 기본값을 변경할 수 있습니다. 
retry=3 min=disabled,disabled,15,7,7 passphrase=4
자세한 내용은 pam_passwdqc의 매뉴얼 페이지를 참조하십시오.
참고: 가능한 모든 암호 옵션의 조합이 테스트되지는 않았습니다. 기본 암호 설정을 변경한 후에는 테스트를 수행하십시오.

이 예에서는 암호 복잡성 요구 사항에 상당한 암호 차이를 적용하는 네 가지 문자 클래스의 8개 문자, 5개 암호 기록 기억, 90일 순환 정책을 요구하도록 설정합니다.

min=disabled,disabled,disabled,disabled,8 similar=deny

Security.PasswordHistory 옵션을 5로 설정하고 Security.PasswordMaxDays 옵션을 90으로 설정합니다.

ESXi 계정 잠금 동작

SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다. 기본적으로, 계정이 잠기기 전에 최대 5번의 시도 실패가 허용되고 15분 후에는 계정에 대한 잠금이 해제됩니다.

로그인 동작 구성

다음 고급 옵션을 사용하여 ESXi 호스트에 대한 로그인 동작을 구성할 수 있습니다.
  • Security.AccountLockFailures. 사용자 계정이 잠길 때까지 허용되는 최대 로그인 시도 실패 횟수입니다. 0은 계정 잠금을 비활성화합니다.
  • Security.AccountUnlockTime. 사용자가 잠기게 되는 시간(초)입니다.
  • Security.PasswordHistory. 각 사용자에 대해 기억할 암호 수입니다. 0은 암호 기록을 비활성화합니다.

ESXi 고급 옵션 설정에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.