vCenter Single Sign-On原則一般會對本機帳戶和 Token 強制執行安全性規則。您可以檢視和編輯預設 vCenter Single Sign-On密碼原則、鎖定原則和 Token 原則。

編輯 vCenter Single Sign-On密碼原則

vCenter Single Sign-On密碼原則會決定密碼格式和密碼到期。此密碼原則僅適用於 vCenter Single Sign-On網域 (vsphere.local) 中的使用者。

依預設,vCenter Single Sign-On內建使用者帳戶密碼會在 90 天後到期。vSphere Client會在密碼即將到期時提醒您。

請參閱 變更 vCenter Single Sign-On密碼
備註: 管理員帳戶 ([email protected]) 不會遭到鎖定,其密碼也不會到期。適當的安全性做法是透過此帳戶稽核登入,並定期輪替密碼。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 按一下本機帳戶索引標籤。
  5. 針對密碼原則列按一下編輯
  6. 編輯密碼原則。
    選項 說明
    說明 密碼原則說明。
    存留時間上限 使用者必須變更密碼前,密碼有效的天數上限。您可以輸入的天數上限為 999999999。若值為零 (0),表示密碼永遠不會到期。
    限制重複使用 無法重複使用的先前密碼的數目。例如,如果您輸入 6,則使用者無法重複使用最近六個密碼中的任何一個。
    長度上限 允許密碼包含的字元數上限。
    最小長度 密碼必須包含的最小字元數目。最小長度不得少於字母、數字和特殊字元需求的最小總和。
    字元需求
    密碼必須包含的不同字元類型的最小數目。您可以按照以下方式指定每種類型字元的數目:
    • 特殊字元:& # %
    • 字母:A b c D
    • 大寫:A B C
    • 小寫:a b c
    • 數字:1 2 3
    • 相同的相鄰:該數值必須大於 0。例如,如果輸入 1,則不允許使用以下密碼:p@$$word。

    最小字母字元數不得少於大寫和小寫字元的總和。

    在密碼中支援非 ASCII 字元。在舊版 vCenter Single Sign-On中,受支援的字元則存在限制。

    備註: 僅當最小長度超過 20 個字元時,密碼原則才會選取最大長度值。當最小長度值大於 20 個字元且最大長度設定為任意值時,密碼原則的行為未定義或可能會導致服務失敗。為避免潛在問題,請將最小長度設定為預設值 8 個字元,或不超過 20 個字元。
  7. 按一下儲存

編輯 vCenter Single Sign-On 鎖定原則

如果使用者嘗試使用不正確的認證登入,vCenter Single Sign-On 鎖定原則會指定何時鎖定使用者的 vCenter Single Sign-On 帳戶。管理員可以編輯鎖定原則。

如果使用者多次嘗試使用錯誤的密碼登入 vsphere.local,則使用者將被鎖定。透過鎖定原則,管理員可以指定登入嘗試失敗的次數上限,以及設定兩次失敗之間的時間間隔。該原則還指定在自動解除鎖定帳戶之前必須經過的時間長。
備註: 鎖定原則僅適用於使用者帳戶,而不適用於系統帳戶 (例如 [email protected])。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 按一下本機帳戶索引標籤。
  5. 針對鎖定原則列按一下編輯
    您可能需要向下捲動才能看到 鎖定原則列。
  6. 編輯參數。
    選項 說明
    說明 鎖定原則的選擇性說明。
    嘗試登入失敗的次數上限 在鎖定帳戶之前允許的登入嘗試失敗次數上限。
    兩次失敗之間的時間間隔 必須發生登入嘗試失敗才會觸發鎖定的期間。
    解除鎖定時間 帳戶保持鎖定狀態的時間量。如果輸入 0,則管理員必須明確地解除鎖定帳戶。
  7. 按一下儲存

編輯 vCenter Single Sign-On Token 原則

vCenter Single Sign-On Token 原則會指定 Token 內容,例如時鐘容限和續訂計數。您可以編輯 Token 原則,確保 Token 規格符合貴公司的安全性標準。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 按一下本機帳戶索引標籤。
  5. 針對 Token 可信度列按一下編輯
    您可能需要向下捲動才能看到 Token 可信度列。
  6. 編輯 Token 原則組態參數。
    選項 說明
    時鐘容限 vCenter Single Sign-On 容許用戶端時鐘與網域控制站時鐘之間存在的時間差異 (以毫秒為單位)。如果時間差異大於指定值,則 vCenter Single Sign-On 將宣告 Token 無效。
    Token 續訂計數上限 可以續訂 Token 的數目上限。超過續訂嘗試數目上限後,需要使用新的安全性 Token。
    Token 委派計數上限 可以將金鑰持有者 Token 委派給 vSphere 環境中的服務。使用所委派 Token 的服務將代表提供該 Token 的主體執行服務。Token 要求會指定 DelegateTo 身分。DelegateTo 值可以是解決方案 Token,也可以是對解決方案 Token 的參考。此值指定可以委派單一金鑰持有者 Token 的次數。
    Bearer Token 存留時間上限 Bearer Token 僅根據 Token 的佔有情況提供驗證。Bearer Token 用於短期的單一作業。Bearer Token 不驗證傳送要求的使用者或實體的身分。此值在重新發出 Bearer Token 前指定該 Token 的存留時間值。
    金鑰持有者 Token 存留時間上限 金鑰持有者 Token 根據 Token 中的內嵌式安全性構件提供驗證。金鑰持有者 Token 可用於委派。用戶端可以取得金鑰持有者 Token 並將該 Token 委派給其他實體。該 Token 包含用於識別建立方和委派方的聲明。在 vSphere 環境中,vCenter Server 系統會代表使用者取得委派的 Token,並使用這些 Token 執行作業。

    此值決定在將金鑰持有者 Token 標記為無效前該 Token 的存留時間。

  7. 按一下儲存

編輯 Active Directory (整合式 Windows 驗證) 使用者的密碼到期通知

Active Directory 密碼到期通知與vCenter ServerSSO 密碼到期是分開的。Active Directory 使用者的預設密碼到期通知為 30 天,但實際密碼到期取決於您的 Active Directory 系統。vSphere Client將控制到期通知。您可以變更預設到期通知,以符合您公司的安全性標準。

必要條件

程序

  1. 以具有管理員權限的使用者身分登入 vCenter ServerShell。
    具有超級管理員角色的預設使用者是 root 使用者。
  2. 將目錄變更為 vSphere Clientwebclient.properties 檔案的位置。 
    cd /etc/vmware/vsphere-ui
  3. 使用文字編輯器開啟 webclient.properties 檔案。
  4. 編輯下列變數。 
    sso.pending.password.expiration.notification.days = 30
  5. 重新啟動 vSphere Client 
    service-control --stop vsphere-ui
service-control --start vsphere-ui