對於 ESXi 主機,您必須使用符合預先定義需求的密碼。您可以使用 Security.PasswordQualityControl 進階選項來變更必要長度及字元類別需求或允許使用複雜密碼。

ESXi 使用 Linux PAM 模組 pam_passwdqc 進行密碼管理和控制。請參閱 pam_passwdqc 的手冊頁以瞭解詳細資訊。

備註︰

針對 ESXi 密碼的預設需求,可隨著版本不斷變更。您可以使用 Security.PasswordQualityControl 進階選項檢查並變更預設密碼限制。

ESXi 密碼

ESXi 會強制密碼必須符合需求,才能從 Direct Console 使用者介面、ESXi Shell、SSH 或 vSphere Client 進行存取。依預設,建立密碼時須包含以下四類字元的組合:小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。

備註︰

密碼開頭的大寫字元不計入使用的字元類別數。密碼結尾的數字不計入使用的字元類別數。

密碼不能包含字典字組或部分字典字組。

ESXi 密碼範例

下列使用者輸入的密碼說明了潛在密碼 (如果選項以如下方式設定)。

retry=3 min=disabled,disabled,disabled,7,7

使用此設定時,由於前三個項目已停用,因此不允許使用包含一或兩類字元類別的密碼及複雜密碼。三類及四類字元類別的密碼需要七個字元。請參閱 pam_passwdqc 的手冊頁以瞭解詳細資訊。

使用這些設定時,允許使用下列密碼。

  • xQaTEhb!:包含八個字元,由三類字元組成。

  • xQaT3#A:包含七個字元,由四類字元組成。

下列使用者輸入的密碼不符合要求。

  • Xqat3hi:以大寫字元開頭,將有效字元類別數目減少到兩種。最少需要三種類別的字元。

  • xQaTEh2:以數字結尾,將有效字元類別數目減少到兩種。最少需要三種類別的字元。

ESXi 複雜密碼

除了密碼,您也可以使用複雜密碼,不過複雜密碼預設為停用。您可以透過使用 vSphere Web ClientSecurity.PasswordQualityControl 進階選項來變更此預設值或其他設定。

例如,您可將該選項變更為下列內容。

retry=3 min=disabled,disabled,16,7,7

此範例允許使用至少 16 個字元及 3 個字組 (以空格分隔) 的複雜密碼。

在舊版主機中仍然支援變更 /etc/pamd/passwd 檔案,但這在未來版本中會被取代。將改用 Security.PasswordQualityControl 進階選項。

變更預設密碼限制

您可以透過使用 ESXi 主機的 Security.PasswordQualityControl 進階選項來變更對密碼或複雜密碼的預設限制。請參閱 《vCenter Server 和主機管理》 說明文件瞭解有關設定 ESXi 進階選項的資訊。

您可以變更預設,例如要求最少 15 個字元且最少四個字,如下所示:

retry=3 min=disabled,disabled,15,7,7 passphrase=4

請參閱 pam_passwdqc 的手冊頁以瞭解詳細資訊。

備註︰

並非所有可能的 pam_passwdqc 選項組合都已經過測試。在變更預設密碼設定後,執行其他測試。

ESXi 帳戶鎖定行為

從 vSphere 6.0 開始,支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。依預設,最多十次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在兩分鐘後解除鎖定。

設定登入行為

您可以使用以下進階選項來設定 ESXi 主機的登入行為:

  • Security.AccountLockFailures。使用者帳戶鎖定前的嘗試登入失敗次數上限。設為零會停用帳戶鎖定。

  • Security.AccountUnlockTime。使用者被鎖定的秒數。

請參閱 《vCenter Server 和主機管理》 說明文件瞭解有關設定 ESXi 進階選項的資訊。