對於 ESXi 主機,您必須使用符合預先定義需求的密碼。您可以使用 Security.PasswordQualityControl 進階系統設定變更必要長度及字元類別需求或允許使用複雜密碼。還可以使用 Security.PasswordHistory 進階系統設定來設定需記住用於每個使用者的密碼數目。

備註: 針對 ESXi 密碼的預設需求,可隨著版本不斷變更。您可以使用 Security.PasswordQualityControl 進階系統設定檢查並變更預設密碼限制。

ESXi 密碼

ESXi 會強制密碼必須符合需求,才能從 Direct Console 使用者介面、ESXi Shell、SSH 或 VMware Host Client 進行存取。

  • 依預設,建立密碼時,必須包括以下四類字元中至少三類字元的組合:小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。
  • 依預設,密碼長度至少為 7 個字元,且少於 40 個字元。
  • 密碼不得包含字典字組或部分字典字組。
  • 密碼不得包含使用者名稱或部分使用者名稱。
備註: 密碼開頭的大寫字元不計入使用的字元類別數。密碼結尾的數字不計入使用的字元類別數。密碼內使用的字典字組可降低整體密碼強度。

ESXi 密碼範例

下列使用者輸入的密碼說明了潛在密碼 (如果選項以如下方式設定)。
retry=3 min=disabled,disabled,disabled,7,7
使用此設定時,如果新密碼的強度不夠或兩次未正確輸入密碼,則會提示使用者最多輸入三次 (retry=3)。由於前三個項目已停用,因此不允許使用包含一或兩類字元類別的密碼及複雜密碼。三類及四類字元類別的密碼需要七個字元。如需有關其他選項 (例如 maxpassphrase 等) 的詳細資料,請參閱 pam_passwdqc 手冊頁。
使用這些設定時,允許使用下列密碼。
  • xQaTEhb! :包含八個字元,由三類字元組成。
  • xQaT3#A:包含七個字元,由四類字元組成。
下列使用者輸入的密碼不符合要求。
  • Xqat3hi:以大寫字元開頭,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
  • xQaTEh2:以數字結尾,將有效字元類別數目減少到兩種。最少需要三種類別的字元。

ESXi 複雜密碼

還可以使用複雜密碼代替密碼。但是,複雜密碼預設為停用。您可以使用 vSphere ClientSecurity.PasswordQualityControl 進階系統設定變更預設設定和其他設定。

例如,您可將該選項變更為下列內容。

retry=3 min=disabled,disabled,16,7,7

此範例允許至少使用 16 個字元及 3 個字組的複雜密碼。

變更預設密碼限制

您可以使用 ESXi 主機的 Security.PasswordQualityControl 進階系統設定變更對密碼或複雜密碼的預設限制。如需變更 vCenter Server 和主機管理 進階系統設定的相關資訊,請參閱 ESXi 說明文件。

您可以變更預設值,例如要求至少 15 個字元且至少四個字組 ( passphrase=4),如下所示:
retry=3 min=disabled,disabled,15,7,7 passphrase=4
請參閱 pam_passwdqc 的手冊頁以瞭解詳細資料。
備註: 並非所有可能的密碼選項組合都已經過測試。在變更預設密碼設定後執行測試。

以下範例設定了密碼複雜性需求,要求使用四類字元中的 8 個字元並強制顯著的密碼差異、記住五個密碼的歷程記錄以及 90 天輪替原則:

min=disabled,disabled,disabled,disabled,8 similar=deny

ESXi 帳戶鎖定行為

支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。依預設,最多 5 次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在 15 分鐘後解除鎖定。

設定登入行為

您可以使用以下進階系統設定來設定 ESXi 主機的登入行為:
  • Security.AccountLockFailures.使用者帳戶鎖定前的嘗試登入失敗次數上限。零表示停用帳戶鎖定。
  • Security.AccountUnlockTime.使用者被鎖定的秒數。
  • Security.PasswordHistory.需記住用於每個使用者的密碼數目。從 vSphere 8.0 Update 1 開始,預設值為 5。零表示停用密碼歷程記錄。

請參閱 vCenter Server 和主機管理說明文件瞭解有關設定 ESXi 進階選項的資訊。