对于 ESXi 主机,必须使用符合预定义要求的密码。您可以使用Security.PasswordQualityControl高级选项更改所需长度和字符类别要求或允许密码短语。您还可以使用 Security.PasswordHistory高级选项设置每个用户要记住的密码数。
ESXi 对从直接控制台用户界面、ESXi Shell、SSH 或 VMware Host Client 进行的访问强制执行密码要求。 默认情况下,在创建密码时,必须至少包括以下四类字符中三类字符的组合:小写字母、大写字母、数字和特殊字符(如下划线或短划线)。 默认情况下,密码长度至少为 7 个字符,且小于 40 个字符。 密码不得包含字典单词或部分字典单词。 xQaTEhb! :包含由三类字符组成的八个字符。 xQaT3#A:包含由四类字符组成的七个字符。 Xqat3hi:以大写字符开头,将有效字符类别数减少为两种。需要的最少字符类别数为三种。 xQaTEh2:以数字结尾,将有效字符种类数减少到两种。需要的最少字符类别数为三种。 您还可以使用密码短语代替密码,但是,默认情况下,密码短语处于禁用状态。您可以在 vSphere Client 中使用 Security.PasswordQualityControl 高级选项更改默认设置和其他设置。 例如,您可以将该选项更改为以下值。 此示例允许密码短语的长度至少为 16 个字符,且至少包含 3 个单词。 对于旧版主机,仍然支持更改 /etc/pam.d/passwd 文件,但在将来的版本中将不再支持更改此文件。将来的版本将改用 Security.PasswordQualityControl高级选项。 您可以使用 ESXi 主机的Security.PasswordQualityControl 高级选项更改密码或密码短语的默认限制。有关设置 ESXi 高级选项的信息,请参见《vCenter Server 和主机管理》文档。 以下示例设置了密码复杂性要求,要求使用四类字符中的 8 个字符并实现显著的密码差异、记住五个密码的历史记录以及 90 天轮换策略: 将 Security.PasswordHistory 选项设置为 5,并将 Security.PasswordMaxDays 选项设置为 90。 对于通过 SSH 和通过 vSphere Web Services SDK 进行的访问,支持帐户锁定。直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许 5 次尝试,当这些尝试均失败后,便会锁定帐户。默认情况下,帐户将在 15 分钟后解锁。 Security.AccountLockFailures。在锁定用户帐户之前允许的最多失败登录尝试次数。零表示取消激活帐户锁定。 Security.AccountUnlockTime.用户被锁定的秒数。 Security.PasswordHistory.要为每个用户记住的密码数。零表示取消激活密码历史记录。 有关设置 ESXi 高级选项的信息,请参见《vCenter Server 和主机管理》文档。ESXi 密码
ESXi 密码示例
retry=3 min=disabled,disabled,disabled,7,7
使用此设置时,如果新密码不够强或者两次未正确输入密码,则系统最多会提示用户输入三次 (retry=3)。不允许使用包含一种或两种类别字符的密码,也不允许使用密码短语,因为前三项已禁用。使用三种和四种类别字符的密码需要 7 个字符。有关其他选项(例如, max、 passphrase 等)的详细信息,请参见 pam_passwdqc 手册页。ESXi 密码短语
retry=3 min=disabled,disabled,16,7,7
更改默认密码限制
retry=3 min=disabled,disabled,15,7,7 passphrase=4
有关详细信息,请参见 pam_passwdqc 的手册页。min=disabled,disabled,disabled,disabled,8 similar=deny
ESXi 帐户锁定行为
配置登录行为
要管理您的 vSphere 环境,必须了解 vCenter Single Sign-On密码策略、vCenter Server 密码和锁定行为。
本部分将讨论 vCenter Single Sign-On 密码。有关 ESXi本地用户的密码的探讨,请参见ESXi 密码和帐户锁定。
vCenter Single Sign-On管理员(默认为 administrator@vsphere.local)的密码由vCenter Single Sign-On 密码策略指定。默认情况下,此密码必须满足以下要求: 至少八个字符 至少一个小写字符 至少一个数字字符 至少一个特殊字符 此用户的密码长度不得超过 20 个字符。允许使用非 ASCII 字符。管理员可以更改默认密码策略。请参见《vSphere 身份验证》文档。 在 vCenter Server中,密码要求由 vCenter Single Sign-On 或配置的标识源规定,这些配置的标识源可以是 Active Directory 和 OpenLDAP。 在连续尝试预设次数失败后,用户将被锁定。默认情况下,用户在三分钟内连续五次尝试失败后将被锁定,锁定的帐户在五分钟后将自动解锁。可以使用 vCenter Single Sign-On 锁定策略更改这些默认值。请参见《vSphere 身份验证》文档。 vCenter Single Sign-On域管理员(默认为 administrator@vsphere.local)不受锁定策略影响。用户受密码策略影响。 如果您知道密码,可以通过使用dir-cli password change命令更改密码。如果忘记了密码,vCenter Single Sign-On 管理员可以通过使用 dir-cli password reset命令重置密码。 有关密码过期信息和不同 vSphere 版本中的相关主题,请搜索 VMware 知识库。vCenter Single Sign-On管理员密码
vCenter Server密码
vCenter Single Sign-On 锁定行为
密码更改
支付宝微信扫一扫,打赏作者吧~本文链接:https://www.kinber.cn/post/4168.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 