ESXi 호스트에 대해 미리 정의된 요구 사항이 있는 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 옵션을 사용하여 필요한 암호 길이 및 문자 클래스 요구 사항을 변경하거나 암호 문구를 허용할 수 있습니다. Security.PasswordHistory 고급 옵션을 사용하여 각 사용자에 대해 기억할 암호 수도 설정할 수 있습니다. Security.PasswordMaxDays 고급 옵션을 사용하면 암호 변경 간격의 최대 일수를 설정할 수 있습니다.

참고: 기본 암호 설정을 변경한 후에는 항상 추가 테스트를 수행하십시오.

잘못된 자격 증명으로 로그인을 시도하는 경우 계정 잠금 정책에 따라 시스템이 계정을 잠그는 시기와 기간이 지정됩니다.

ESXi 암호

ESXi는 액세스에 대한 암호 요구 사항을 적용합니다.

  • 기본적으로 암호를 생성할 때는 소문자, 대문자, 숫자, 특수 문자(예: 밑줄 또는 대시)의 네 가지 문자 클래스 중 세 가지의 문자를 혼합하여 포함해야 합니다.
  • 기본적으로 암호의 길이는 최소 7자, 최대 40자여야 합니다.
  • 암호에는 사전에 나오는 단어 또는 사전에 나오는 단어의 일부를 포함하면 안 됩니다.
  • 암호에는 사용자 이름이나 사용자 이름의 일부가 포함되어서는 안 됩니다.
참고:

암호를 시작할 때의 대문자는 사용된 문자 클래스 수에 포함되지 않습니다. 암호가 끝날 때의 숫자도 사용된 문자 클래스 수에 포함되지 않습니다.

ESXi 암호 예

다음 암호 후보는 옵션이 다음과 같이 설정되었을 때 설정 가능한 암호를 보여줍니다.

retry=3 min=disabled,disabled,disabled,7,7

이 설정을 사용하면 암호가 충분히 강력하지 않거나 암호가 올바르게 두 번 입력되지 않은 경우 새 암호를 입력하라는 메시지가 사용자에게 최대 세 번(retry=3) 표시됩니다. 처음 3개 항목이 비활성화되기 때문에 1개 또는 2개의 문자 클래스 및 암호 문구가 있는 암호는 허용되지 않습니다. 3개 및 4개의 문자 클래스의 암호에는 7개의 문자가 필요합니다.

다음 암호 후보는 암호 요구 사항을 충족합니다.

  • xQaTEhb!: 세 가지 문자 클래스의 문자 8개를 포함합니다.
  • xQaT3#A: 네 가지 문자 클래스의 문자 7개를 포함합니다.

다음 암호 후보는 암호 요구 사항을 충족하지 않습니다.

  • Xqat3hi: 대문자로 시작되기 때문에 유효한 문자 클래스 수가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
  • xQaTEh2: 숫자로 끝나기 때문에 유효한 문자 클래스가 2개로 줄어듭니다. 필수 문자 클래스의 수는 최소 3개입니다.
비밀번호 품질 제어

Security.PasswordQualityControl 고급 옵션 사용하여 암호의 품질을 제어할 수 있습니다.

Security.PasswordQualityControl은 패턴을 따르는 몇 가지 설정으로 구성됩니다.

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
비밀번호 품질 제어 설정 설명 기본값
retry=N 암호가 올바르지 않거나 충분히 강력하지 않은 경우 사용자가 새 암호를 제공해야 하는 횟수입니다. retry=3
min=N0,N1,N2,N3,N4 문자 클래스 및 암호 최소 길이 요구 사항입니다.
  • N0은 단일 문자 클래스에 대한 최소 암호 길이입니다.
  • N1은 두 가지 문자 클래스에 대한 최소 암호 길이입니다.
  • N2는 암호의 최소 길이입니다.
  • N3은 세 가지 문자 클래스에 대한 최소 길이입니다.
  • N4는 네 가지 문자 클래스에 대한 최소 길이입니다.
disabled를 사용하면 지정된 수의 문자 클래스가 있는 암호를 허용하지 않을 수 있습니다.		 min=disabled,disabled,disabled,7,7
max=N 허용되는 최대 암호 길이입니다. max=40
passphrase=N 암호에 필요한 단어 수입니다. passphrase가 인식되도록 하려면 min 설정에서 N2disabled로 설정하지 마십시오. passphrase=3
similar=permit|deny 암호가 이전 암호와 유사해도 되는지 여부를 나타냅니다. 이 설정을 사용하려면 Security.PasswordHistory 옵션을 0이 아닌 값으로 설정해야 합니다. similar=deny
ESXi 암호 문구

암호 대신 암호 문구를 사용할 수 있습니다. 암호 문구는 기본적으로 비활성화됩니다. Security.PasswordQualityControl 고급 옵션을 사용하여 기본 설정을 변경할 수 있습니다.

예를 들어 옵션을 다음으로 변경할 수 있습니다.

retry=3 min=disabled,disabled,16,7,7

이 예에서는 16자 이상의 암호 문구를 허용합니다. 암호 문구는 공백으로 구분된 3개 이상의 단어로 구성되어야 합니다.

암호 기록 및 순환 정책 예

암호 기록을 5개 기억하려면 Security.PasswordHistory 옵션을 5로 설정합니다.

90일 암호 순환 정책을 적용하려면 Security.PasswordMaxDays 옵션을 90으로 설정합니다.

ESXi 계정 잠금 정책

사용자는 미리 설정된 수의 연속 시도 실패 후에 잠깁니다. 기본적으로 3분 내에 시도가 5회 연속 실패하면 사용자가 잠기고 잠긴 계정은 기본적으로 15분 후에 자동으로 잠금이 해제됩니다. 최대로 허용되는 실패 시도 횟수와 사용자 계정이 잠기는 기간은 Security.AccountLockFailuresSecurity.AccountUnlockTime 고급 옵션을 사용하여 변경할 수 있습니다.

관리자 암호 및 계정 잠금 동작을 구성하려면 다음 단계를 수행합니다.

프로시저

  1. VMware Host Client 인벤토리에서 관리를 클릭하고 고급 설정을 클릭합니다.

    옵션

    작업

    필요한 암호 길이, 문자 클래스 요구 사항 또는 허용 암호 구성

    1. 검색 텍스트 상자에 Security.PasswordQualityControl을 입력하고 검색 아이콘을 클릭합니다.

    2. Security.PasswordQualityControl을 마우스 오른쪽 버튼으로 클릭하고 드롭다운 메뉴에서 옵션 편집을 선택합니다.

    각 사용자에 대해 기억할 암호 수 구성

    1. 검색 텍스트 상자에 Security.PasswordHistory를 입력하고 검색 아이콘을 클릭합니다.

    2. Security.PasswordHistory을 마우스 오른쪽 버튼으로 클릭하고 드롭다운 메뉴에서 옵션 편집을 선택합니다.

      참고:

      0은 암호 기록을 비활성화합니다.

    암호 변경 간격의 최대 일수 구성

    1. 검색 텍스트 상자에 Security.PasswordMaxDays를 입력하고 검색 아이콘을 클릭합니다.

    2. Security.PasswordMaxDays을 마우스 오른쪽 버튼으로 클릭하고 드롭다운 메뉴에서 옵션 편집을 선택합니다.

    잠길 때까지 허용되는 로그인 시도 실패 횟수 구성

    1. 검색 텍스트 상자에 Security.AccountLockFailures를 입력하고 검색 아이콘을 클릭합니다.

    2. Security.AccountLockFailures을 마우스 오른쪽 버튼으로 클릭하고 드롭다운 메뉴에서 옵션 편집을 선택합니다.

      참고:

      0은 계정 잠금을 비활성화합니다.

    사용자 계정이 잠기는 기간 구성

    1. 검색 텍스트 상자에 Security.AccountUnlockTime을 입력하고 검색 아이콘을 클릭합니다.

    2. Security.AccountUnlockTime을 마우스 오른쪽 버튼으로 클릭하고 드롭다운 메뉴에서 옵션 편집을 선택합니다.

    옵션 편집 대화상자가 열립니다.

  2. 새 값 텍스트 상자에 새 설정을 입력합니다.
  3. 저장을 클릭합니다.
  4. (선택 사항) 키 설정을 기본값으로 재설정하려면 목록에서 해당 키를 마우스 오른쪽 버튼으로 클릭하고 기본값으로 재설정을 선택합니다.