對於 ESXi 主機,您必須使用符合預先定義需求的密碼。您可以使用Security.PasswordQualityControl進階選項來變更必要長度及字元類別需求或允許使用複雜密碼。您也可以使用 Security.PasswordHistory進階選項,設定需記住用於每個使用者的密碼數目。

ESXi 使用 Linux PAM 模組 pam_passwdqc 進行密碼管理和控制。請參閱 pam_passwdqc 的手冊頁以瞭解詳細資訊。
備註: 針對 ESXi 密碼的預設需求,可隨著版本不斷變更。您可以使用 Security.PasswordQualityControl進階選項檢查並變更預設密碼限制。

ESXi 密碼

ESXi 會強制密碼必須符合需求,才能從 Direct Console 使用者介面、ESXi Shell、SSH 或 VMware Host Client 進行存取。

  • 依預設,建立密碼時須包含以下四類字元的組合:小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。
  • 依預設,密碼長度介於 7 到 40 個字元之間。
  • 密碼不能包含字典字組或部分字典字組。
備註: 密碼開頭的大寫字元不計入使用的字元類別數。密碼結尾的數字不計入使用的字元類別數。

ESXi 密碼範例

下列使用者輸入的密碼說明了潛在密碼 (如果選項以如下方式設定)。 
retry=3 min=disabled,disabled,disabled,7,7
使用此設定時,由於前三個項目已停用,因此不允許使用包含一或兩類字元類別的密碼及複雜密碼。三類及四類字元類別的密碼需要七個字元。請參閱 pam_passwdqc 手冊頁以瞭解詳細資料。
使用這些設定時,允許使用下列密碼。
  • xQaTEhb! :包含八個字元,由三類字元組成。
  • xQaT3#A:包含七個字元,由四類字元組成。
下列使用者輸入的密碼不符合要求。
  • Xqat3hi:以大寫字元開頭,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
  • xQaTEh2:以數字結尾,將有效字元類別數目減少到兩種。最少需要三種類別的字元。

ESXi 複雜密碼

除了密碼,您也可以使用複雜密碼,不過複雜密碼預設為停用。您可以透過使用 vSphere ClientSecurity.PasswordQualityControl 進階選項來變更此預設值或其他設定。

例如,您可將該選項變更為下列內容。 

retry=3 min=disabled,disabled,16,7,7

此範例允許使用至少 16 個字元及 3 個字組 (以空格分隔) 的複雜密碼。

在舊版主機中仍然支援變更 /etc/pam.d/passwd 檔案,但這在未來版本中會被取代。將改用 Security.PasswordQualityControl進階選項。

變更預設密碼限制

您可以透過使用 ESXi 主機的Security.PasswordQualityControl 進階選項來變更對密碼或複雜密碼的預設限制。請參閱 vCenter Server 和主機管理說明文件瞭解有關設定 ESXi 進階選項的資訊。

您可以變更預設,例如要求最少 15 個字元且最少四個字,如下所示: 
retry=3 min=disabled,disabled,15,7,7 passphrase=4
請參閱 pam_passwdqc 的手冊頁以瞭解詳細資料。
備註: 並非所有可能的 pam_passwdqc 選項組合都已經過測試。在變更預設密碼設定後,執行其他測試。

ESXi 帳戶鎖定行為

從 vSphere 6.0 開始,支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。依預設,最多 5 次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在 15 分鐘後解除鎖定。

設定登入行為

您可以使用以下進階選項來設定 ESXi 主機的登入行為:
  • Security.AccountLockFailures.使用者帳戶鎖定前的嘗試登入失敗次數上限。設為零會停用帳戶鎖定。
  • Security.AccountUnlockTime.使用者被鎖定的秒數。
  • Security.PasswordHistory.需記住用於每個使用者的密碼數目。若為零,則會停用密碼歷程記錄。

請參閱 vCenter Server 和主機管理說明文件瞭解有關設定 ESXi 進階選項的資訊。