對於 ESXi 主機,您必須使用符合預先定義需求的密碼。您可以使用 Security.PasswordQualityControl 進階選項來變更必要長度及字元類別需求或允許使用複雜密碼。
ESXi 使用 Linux PAM 模組
pam_passwdqc 進行密碼管理和控制。請參閱
pam_passwdqc 的手冊頁以瞭解詳細資訊。
備註: 針對
ESXi 密碼的預設需求,可隨著版本不斷變更。您可以使用
Security.PasswordQualityControl 進階選項檢查並變更預設密碼限制。
ESXi 密碼
ESXi 會強制密碼必須符合需求,才能從 Direct Console 使用者介面、ESXi Shell、SSH 或 VMware Host Client 進行存取。
- 依預設,建立密碼時須包含以下四類字元的組合:小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。
- 依預設,密碼長度介於 7 到 40 個字元之間。
- 密碼不能包含字典字組或部分字典字組。
備註: 密碼開頭的大寫字元不計入使用的字元類別數。密碼結尾的數字不計入使用的字元類別數。
ESXi 密碼範例
下列使用者輸入的密碼說明了潛在密碼 (如果選項以如下方式設定)。
retry=3 min=disabled,disabled,disabled,7,7使用此設定時,由於前三個項目已停用,因此不允許使用包含一或兩類字元類別的密碼及複雜密碼。三類及四類字元類別的密碼需要七個字元。請參閱 pam_passwdqc 手冊頁以瞭解詳細資料。
使用這些設定時,允許使用下列密碼。
- xQaTEhb!:包含八個字元,由三類字元組成。
- xQaT3#A:包含七個字元,由四類字元組成。
下列使用者輸入的密碼不符合要求。
- Xqat3hi:以大寫字元開頭,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
- xQaTEh2:以數字結尾,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
ESXi 複雜密碼
除了密碼,您也可以使用複雜密碼,不過複雜密碼預設為停用。您可以透過使用 vSphere Web Client 的 Security.PasswordQualityControl 進階選項來變更此預設值或其他設定。
例如,您可將該選項變更為下列內容。
retry=3 min=disabled,disabled,16,7,7
此範例允許使用至少 16 個字元及 3 個字組 (以空格分隔) 的複雜密碼。
在舊版主機中仍然支援變更 /etc/pamd/passwd 檔案,但這在未來版本中會被取代。將改用 Security.PasswordQualityControl 進階選項。
變更預設密碼限制
您可以透過使用 ESXi 主機的 Security.PasswordQualityControl 進階選項來變更對密碼或複雜密碼的預設限制。請參閱 vCenter Server 和主機管理 說明文件瞭解有關設定 ESXi 進階選項的資訊。
您可以變更預設,例如要求最少 15 個字元且最少四個字,如下所示:
retry=3 min=disabled,disabled,15,7,7 passphrase=4請參閱 pam_passwdqc 的手冊頁以瞭解詳細資料。
備註: 並非所有可能的
pam_passwdqc 選項組合都已經過測試。在變更預設密碼設定後,執行其他測試。
ESXi 帳戶鎖定行為
從 vSphere 6.0 開始,支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。依預設,最多十次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在兩分鐘後解除鎖定。
設定登入行為
您可以使用以下進階選項來設定
ESXi 主機的登入行為:
- Security.AccountLockFailures。使用者帳戶鎖定前的嘗試登入失敗次數上限。設為零會停用帳戶鎖定。
- Security.AccountUnlockTime。使用者被鎖定的秒數。
請參閱 vCenter Server 和主機管理 說明文件瞭解有關設定 ESXi 進階選項的資訊。