vCenter Single Sign-On 정책은 일반적으로 로컬 계정 및 토큰에 대한 보안 규칙을 적용합니다. 기본 vCenter Single Sign-On 암호 정책, 잠금 정책 및 토큰 정책을 보고 편집할 수 있습니다.

vCenter Single Sign-On 암호 정책 편집

vCenter Single Sign-On 암호 정책은 암호 형식 및 암호 만료를 결정합니다. 암호 정책은 vCenter Single Sign-On 도메인(vsphere.local)의 사용자에게만 적용됩니다.

기본적으로, vCenter Single Sign-On 기본 제공 사용자 계정 암호는 90일 후에 만료됩니다. vSphere Client는 암호가 만료되려고 할 때 미리 알려 줍니다.

vCenter Single Sign-On 암호 변경의 내용을 참조하십시오.
참고: 관리자 계정(administrator@vsphere local)은 잠기지 않거나 암호가 만료되지 않습니다. 적절한 보안 사례는 이 계정에서 로그인을 감사하고 정기적으로 암호를 교체하는 것입니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 구성 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. Single Sign-On에서 구성을 클릭합니다.
  4. 로컬 계정 탭을 클릭합니다.
  5. 암호 정책 행의 편집을 클릭합니다.
  6. 암호 정책을 편집합니다.
    옵션 설명
    설명 암호 정책 설명입니다.
    최대 수명 사용자가 변경해야 될 때까지 암호가 유효한 최대 일수입니다. 입력할 수 있는 최대 일 수는 999999999일입니다. 0 값은 암호가 만료되지 않음을 의미합니다.
    재사용 제한 재사용될 수 없는 이전 암호의 수입니다. 예를 들어 6을 입력하는 경우 사용자가 마지막 6개 암호를 재사용할 수 없습니다.
    최대 길이 암호에 허용되는 최대 문자 수입니다.
    최소 길이 암호에 요구되는 최소 문자 수입니다. 최소 길이는 영문자, 숫자 및 특수 문자 결합의 최소 요구 사항을 충족해야 합니다.
    문자 요구 사항
    암호에 요구되는 다양한 문자 유형의 최소 수입니다. 다음과 같은 문자 유형의 수를 지정할 수 있습니다.
    • 특수 문자: & # %
    • 영문자: A b c D
    • 대문자: A B C
    • 소문자: a b c
    • 숫자: 1 2 3
    • 인접한 동일 문자: 숫자가 0보다 커야 합니다. 예를 들면 1을 입력하면 p@$$word와 같은 암호가 허용되지 않습니다.

    최소 영문자 수는 최소 대문자 수 및 최소 소문자 수의 합보다 크거나 같아야 합니다.

    암호에서는 ASCII가 아닌 문자를 지원합니다. vCenter Single Sign-On 이전 버전에서는 지원되는 문자에 대한 제한이 있습니다.

    참고: 암호 정책은 최소 길이가 20자를 초과하는 경우에만 최대 길이 값을 선택합니다. 최소 길이 값이 20자를 초과하고 최대 길이가 임의의 값으로 설정된 경우 암호 정책의 동작이 정의되지 않거나 서비스가 실패할 수 있습니다. 잠재적인 문제를 방지하려면 최소 길이를 기본값인 8자로 설정하거나 20자 이하로 설정합니다.
  7. 저장을 클릭합니다.

vCenter Single Sign-On 잠금 정책 편집

vCenter Single Sign-On 잠금 정책은 사용자가 잘못된 자격 증명을 사용하여 로그인하려고 할 때 사용자의 vCenter Single Sign-On 계정이 잠기는 경우를 지정합니다. 관리자는 잠금 정책을 편집할 수 있습니다.

사용자가 잘못된 암호로 vsphere.local에 로그인하려고 여러 번 시도하면 해당 사용자가 잠깁니다. 잠금 정책을 통해 관리자는 실패한 최대 로그인 시도 횟수를 지정하고 실패 사이의 시간 간격을 설정할 수 있습니다. 또한 계정이 자동으로 잠금 해제될 때까지의 경과 시간을 지정할 수도 있습니다.
참고: 잠금 정책은 [email protected]과 같은 시스템 계정이 아닌 사용자 계정에만 적용됩니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 구성 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. Single Sign-On에서 구성을 클릭합니다.
  4. 로컬 계정 탭을 클릭합니다.
  5. 잠금 정책 행의 편집을 클릭합니다.
    잠금 정책 행을 보려면 아래로 스크롤해야 할 수 있습니다.
  6. 매개 변수를 편집합니다.
    옵션 설명
    설명 잠금 정책에 대한 선택적 설명.
    실패한 최대 로그인 시도 횟수 계정이 잠길 때까지 허용되는 최대 로그인 시도 실패 횟수입니다.
    실패 사이의 시간 간격 잠금을 트리거하기 위해 실패한 로그인 시도가 발생해야 하는 기간입니다.
    잠금 해제 시간 계정이 잠김 상태로 유지되는 기간입니다. 0을 입력하면 관리자가 해당 계정을 명시적으로 잠금 해제해야 합니다.
  7. 저장을 클릭합니다.

vCenter Single Sign-On 토큰 정책 편집

vCenter Single Sign-On 토큰 정책은 클럭 허용 오차 및 갱신 수와 같은 토큰 속성을 지정합니다. 토큰 규격이 회사의 보안 표준에 맞도록 토큰 정책을 편집할 수 있습니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 구성 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. Single Sign-On에서 구성을 클릭합니다.
  4. 로컬 계정 탭을 클릭합니다.
  5. 토큰 신뢰도 행의 편집을 클릭합니다.
    토큰 신뢰도 행을 보려면 아래로 스크롤해야 할 수 있습니다.
  6. 토큰 정책 구성 매개 변수를 편집합니다.
    옵션 설명
    클럭 허용 오차 vCenter Single Sign-On에서 허용하는 클라이언트 클럭과 도메인 컨트롤러 클럭 간 시간 차이(밀리초)입니다. 시간 차이가 지정된 값보다 크면 vCenter Single Sign-On은 토큰을 잘못된 것으로 선언합니다.
    토큰 갱신 최대 횟수 토큰을 갱신할 수 있는 최대 횟수입니다. 갱신 최대 횟수를 초과한 경우 새 보안 토큰이 필요합니다.
    토큰 위임 최대 횟수 키 소유자 토큰은 vSphere 환경의 서비스에 위임할 수 있습니다. 위임된 토큰을 사용하는 서비스는 토큰을 제공한 주체 대신 서비스를 수행합니다. 토큰 요청은 DelegateTo ID를 지정합니다. DelegateTo 값은 솔루션 토큰 또는 솔루션 토큰에 대한 참조일 수 있습니다. 이 값은 단일 키 소유자 토큰을 위임할 수 있는 횟수를 지정합니다.
    보유자 토큰 최대 수명 보유자 토큰은 토큰 소유 여부에 따라서만 인증을 제공합니다. 보유자 토큰은 단기 단일 작업에 사용됩니다. 보유자 토큰은 요청을 보내는 사용자 또는 엔티티의 ID를 확인하지 않습니다. 이 값은 토큰을 재발급하기 전까지의 보유자 토큰 수명 값을 지정합니다.
    키 소유자 토큰 최대 수명 키 소유자 토큰은 토큰에 포함된 보안 아티팩트를 기반으로 인증을 제공합니다. 키 소유자 토큰은 위임에 사용될 수 있습니다. 클라이언트는 키 소유자 토큰을 가져와 다른 엔티티에 위임할 수 있습니다. 토큰에는 원래 소유자와 대리자를 식별하기 위한 클레임이 포함되어 있습니다. vSphere 환경에서는 vCenter Server 시스템이 사용자 대신 위임된 토큰을 가져오고 해당 토큰을 사용하여 작업을 수행합니다.

    이 값은 토큰이 잘못된 것으로 표시되기 전까지의 키 소유자 토큰 수명을 결정합니다.

  7. 저장을 클릭합니다.

Active Directory(통합 Windows 인증) 사용자의 암호 만료 알림 편집

Active Directory 암호 만료 알림은 vCenter Server SSO 암호 만료와는 별개입니다. Active Directory 사용자의 기본 암호 만료 알림은 30일이지만 실제 암호 만료는 Active Directory 시스템에 따라 다릅니다. vSphere Client는 만료 알림을 제어합니다. 회사의 보안 표준에 맞게 기본 만료 알림을 변경할 수 있습니다.

사전 요구 사항

프로시저

  1. 관리자 권한이 있는 사용자로 vCenter Server 셸에 로그인합니다.
    수퍼 관리자 역할이 있는 기본 사용자는 루트입니다.
  2. vSphere Client webclient.properties 파일이 있는 디렉토리로 변경합니다. 
    cd /etc/vmware/vsphere-ui
  3. 텍스트 편집기에서 webclient.properties 파일을 엽니다.
  4. 다음 변수를 편집합니다. 
    sso.pending.password.expiration.notification.days = 30
  5. vSphere Client를 다시 시작합니다. 
    service-control --stop vsphere-ui
service-control --start vsphere-ui