對於 ESXi 主機,您必須使用符合預先定義需求的密碼。您可以使用Security.PasswordQualityControl進階選項來變更必要長度及字元類別需求或允許使用複雜密碼。您也可以使用 Security.PasswordHistory進階選項,設定需記住用於每個使用者的密碼數目。
ESXi 密碼
ESXi 會強制密碼必須符合需求,才能從 Direct Console 使用者介面、ESXi Shell、SSH 或 VMware Host Client 進行存取。
- 依預設,建立密碼時,必須包括以下四類字元中至少三類字元的組合:小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。
- 依預設,密碼長度至少為 7 個字元,且少於 40 個字元。
- 密碼不得包含字典字組或部分字典字組。
- 密碼不得包含使用者名稱或部分使用者名稱。
ESXi 密碼範例
retry=3 min=disabled,disabled,disabled,7,7使用此設定時,如果新密碼的強度不夠或兩次未正確輸入密碼,則會提示使用者最多輸入三次 (retry=3)。由於前三個項目已停用,因此不允許使用包含一或兩類字元類別的密碼及複雜密碼。三類及四類字元類別的密碼需要七個字元。如需有關其他選項 (例如 max、 passphrase 等) 的詳細資料,請參閱 pam_passwdqc 手冊頁。
- xQaTEhb! :包含八個字元,由三類字元組成。
- xQaT3#A:包含七個字元,由四類字元組成。
- Xqat3hi:以大寫字元開頭,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
- xQaTEh2:以數字結尾,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
ESXi 複雜密碼
除了密碼,您也可以使用複雜密碼,不過複雜密碼預設為停用。您可以透過使用 vSphere Client 的 Security.PasswordQualityControl 進階選項來變更預設設定和其他設定。
例如,您可將該選項變更為下列內容。
retry=3 min=disabled,disabled,16,7,7
此範例允許至少使用 16 個字元及 3 個字組的複雜密碼。
在舊版主機中仍然支援變更 /etc/pam.d/passwd 檔案,但這在未來版本中會被取代。將改用 Security.PasswordQualityControl進階選項。
變更預設密碼限制
您可以透過使用 ESXi 主機的Security.PasswordQualityControl 進階選項來變更對密碼或複雜密碼的預設限制。請參閱 vCenter Server 和主機管理說明文件瞭解有關設定 ESXi 進階選項的資訊。
retry=3 min=disabled,disabled,15,7,7 passphrase=4請參閱 pam_passwdqc 的手冊頁以瞭解詳細資料。
以下範例設定了密碼複雜性需求,要求使用四類字元中的 8 個字元並強制顯著的密碼差異、記住五個密碼的歷程記錄以及 90 天輪替原則:
min=disabled,disabled,disabled,disabled,8 similar=deny
將 Security.PasswordHistory 選項設定為 5,並將 Security.PasswordMaxDays 選項設定為 90。
ESXi 帳戶鎖定行為
支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。依預設,最多 5 次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在 15 分鐘後解除鎖定。
設定登入行為
- Security.AccountLockFailures.使用者帳戶鎖定前的嘗試登入失敗次數上限。零表示停用帳戶鎖定。
- Security.AccountUnlockTime.使用者被鎖定的秒數。
- Security.PasswordHistory.需記住用於每個使用者的密碼數目。零表示停用密碼歷程記錄。
請參閱 vCenter Server 和主機管理說明文件瞭解有關設定 ESXi 進階選項的資訊。