Computer >> คอมพิวเตอร์ >  >> ซอฟต์แวร์ >> เครื่องเสมือน

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

ในบางครั้งในอินเทอร์เฟซ vSphere Client ฉันพบการแจ้งเตือน:Your password will expire in xx days . ฉันตัดสินใจเรียนรู้วิธีจัดการนโยบายรหัสผ่านใน VMWare vSphere วิธีเปลี่ยนเวลาที่การแจ้งเตือนการหมดอายุของรหัสผ่านปรากฏขึ้นสำหรับผู้ใช้ vSphere ในเครื่องและโดเมน และตั้งค่ารหัสผ่านสำหรับผู้ใช้บางคนไม่ให้หมดอายุ นี่คือสิ่งที่ฉันได้พบ

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

นโยบายรหัสผ่านและล็อกเอาต์ในการลงชื่อเพียงครั้งเดียวของ VMWare (SSO)

ในกรณีของฉัน ฉันตัดสินใจปิดใช้งานการหมดอายุของรหัสผ่านสำหรับผู้ใช้ในพื้นที่ [email protected] (เนื่องจากไม่มีใครทำงานภายใต้บัญชีท้องถิ่นนี้อย่างถาวร และผู้ดูแลระบบ vSphere ตรวจสอบสิทธิ์ภายใต้บัญชีโดเมน Active Directory)

โดยค่าเริ่มต้น นโยบาย SSO จะใช้กับผู้ใช้ภายใน vSphere ซึ่งกำหนดให้ต้องเปลี่ยนรหัสผ่านผู้ใช้ทุก 90 วัน

คุณสามารถค้นหาการตั้งค่านโยบายรหัสผ่าน SSO ได้ในส่วนต่อไปนี้ของไคลเอ็นต์ vSphere:การดูแลระบบ -> การลงชื่อเพียงครั้งเดียว -> การกำหนดค่า .

ดังที่คุณเห็นในแท็บนโยบายรหัสผ่าน ข้อกำหนดต่อไปนี้จะมีผลกับรหัสผ่านของผู้ใช้ vCSA ในเครื่องทั้งหมด:

  • ความยาวของรหัสผ่านขั้นต่ำคือ 8 อักขระ (สูงสุด — 20 อักขระ)
  • รหัสผ่านจะหมดอายุใน 90 วัน (อายุการใช้งานสูงสุด);
  • ไม่อนุญาตให้ใช้รหัสผ่าน 5 รายการสุดท้ายซ้ำ
  • ข้อจำกัดด้านความซับซ้อนของรหัสผ่านบางประการ

คลิกแก้ไข และเปลี่ยนการตั้งค่านโยบาย ตัวอย่างเช่น คุณสามารถเปลี่ยนอายุการใช้งานสูงสุด ถึง 365 (หมายความว่าคุณต้องเปลี่ยนรหัสผ่านปีละครั้ง) หรือป้อน 0 ที่นี่ (หมายความว่ารหัสผ่านยังไม่หมดอายุ)

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

เปลี่ยนการตั้งค่าการหมดอายุของรหัสผ่านเป็นไม่มีวันหมดอายุสำหรับผู้ใช้ VMware vCSA ในเครื่อง

หากคุณไม่ต้องการเปลี่ยนนโยบายรหัสผ่านสำหรับผู้ใช้ vCenter ทั้งหมด คุณสามารถเปลี่ยนนโยบายรหัสผ่านและการตั้งค่าการหมดอายุสำหรับผู้ใช้เฉพาะ ตัวอย่างเช่น คุณต้องการตั้งค่ารหัสผ่านสำหรับ backup_userในเครื่อง ที่จะไม่มีวันหมดอายุ โดยเชื่อมต่อกับโฮสต์ vCSA ของคุณโดยใช้ไคลเอ็นต์ SSH

เปิดใช้งานการเข้าถึง SSH เพื่อ vCSA ใน การเข้าถึง -> เข้าสู่ระบบ SSH -> เปิดใช้งาน ส่วนของการจัดการอุปกรณ์ (https://your_vcenter_name:5480/ui/access )

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

คุณจะต้องมี dir-cli เครื่องมือ ซึ่งอยู่ใน /usr/lib/vmware-vmafd/bin/ .

cd /usr/lib/vmware-vmafd/bin/

ตรวจสอบว่ามีผู้ใช้ในเครื่อง:

./dir-cli user find-by-name --account backup_user

ป้อนรหัสผ่านสำหรับ [email protected]:Account:backup_userUPN:[email protected]/

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

คุณสามารถเปลี่ยนรหัสผ่านสำหรับผู้ใช้รายนี้:

./dir-cli password reset --account backup_user --password OldBackupP@$$ --new NewBackupP@$$

หรือคุณสามารถตั้งรหัสผ่านให้ไม่มีวันหมดอายุ:

./dir-cli user modify --account backup_user --password-never-expires

ป้อนรหัสผ่านสำหรับ [email protected]:รหัสผ่านที่กำหนดให้ไม่มีวันหมดอายุสำหรับ [backup_user]

รูทรหัสผ่านหมดอายุบน vCenter VCSA

เมื่อคุณติดตั้ง vCenter Server Appliance อายุการใช้งานรหัสผ่านสำหรับ root ผู้ใช้ถูกตั้งค่าเป็น 365 วัน (vCenter 6.5 หรือเก่ากว่า) หรือ 90 วัน (vSphere 6.7) ดังนั้นรูทจึงอยู่ภายใต้นโยบายการหมดอายุของรหัสผ่านด้วย

คุณสามารถดูการตั้งค่านโยบายรหัสผ่านได้ใน vCSA Appliance Management (https://your_vcenter_name:5480/ui/access ). ไปที่ การดูแลระบบ และตรวจสอบค่าใน “การตั้งค่าการหมดอายุของรหัสผ่าน ” มาตรา.

  • รหัสผ่านหมดอายุ:ใช่
  • อายุรหัสผ่าน (วัน):90
  • รหัสผ่านหมดอายุ:13 มิ.ย. 2020, 02:00:00 น.

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

คุณสามารถเปลี่ยนการตั้งค่าการหมดอายุของรหัสผ่านสำหรับรูทหรือตั้งค่าให้ไม่มีวันหมดอายุได้ (หากค่าเป็น 0)

นอกจากนี้ คุณสามารถตรวจสอบการตั้งค่าการหมดอายุของรหัสผ่านรูทได้จากคอนโซล vCSA:

chage -l root

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

เปลี่ยนรหัสผ่านครั้งสุดท้าย :15 มี.ค. 2019รหัสผ่านหมดอายุ :20 มิ.ย. 2019รหัสผ่านไม่ทำงาน :neverAccount หมดอายุ :neverMinimum จำนวนวันระหว่างการเปลี่ยนรหัสผ่าน :0จำนวนวันสูงสุดระหว่างการเปลี่ยนรหัสผ่าน :90จำนวนวันที่เตือนก่อนรหัสผ่านหมดอายุ :7 

เป็นเรื่องที่น่าสนใจที่อินเทอร์เฟซ vCSA Appliance Management ไม่แจ้งให้รูทเปลี่ยนรหัสผ่านหรือแสดงคำเตือนการหมดอายุของรหัสผ่าน

อย่างไรก็ตาม หากคุณพยายามอัพเกรด vCenter Server Appliance คุณอาจพบข้อความแสดงข้อผิดพลาดต่อไปนี้:

รหัสผ่าน root ของอุปกรณ์ (OS) หมดอายุหรือกำลังจะหมดอายุเร็วๆ นี้ โปรดเปลี่ยนรหัสผ่านรูทก่อนติดตั้งการอัปเดต

หรือเมื่อพยายามเปลี่ยนรหัสผ่านรูทที่หมดอายุใน vCSA Appliance Management คำเตือนอาจปรากฏขึ้น:

การอนุญาตถูกปฏิเสธ กำหนดจำนวนวันสูงสุดที่รหัสผ่านจะหมดอายุ อัปเดตการกำหนดค่าผู้ดูแลระบบเรียบร้อยแล้ว

ในกรณีนี้ คุณต้องเปลี่ยนรหัสผ่านรูทในคอนโซล vCSA ด้วยคำสั่งนี้:

passwd

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

การเปลี่ยนการตั้งค่าการแจ้งเตือนการหมดอายุของรหัสผ่านบน VMWare vCenter

โดยค่าเริ่มต้น การแจ้งเตือนรหัสผ่านที่ใกล้หมดอายุใน vCenter Client จะเริ่มปรากฏ 30 วันก่อนจะหมดอายุ

หากผู้ใช้ตรวจสอบสิทธิ์ใน vCenter โดยใช้บัญชี AD นโยบายรหัสผ่านของโดเมนจะถูกนำไปใช้กับรหัสผ่านของผู้ใช้ ผู้ใช้จะเห็นการแจ้งเตือนให้เปลี่ยนรหัสผ่าน 30 วันก่อนหมดอายุ ดังนั้น หากนโยบายโดเมนของคุณบังคับให้เปลี่ยนรหัสผ่านหนึ่งครั้งใน 30 วัน ผู้ใช้ VMWare vCenter จะเห็นคำเตือนที่น่ารำคาญอยู่เสมอ Your password will expire .

ใน vCSA คุณสามารถกำหนดจำนวนวันก่อนที่รหัสผ่านจะหมดอายุ ผู้ใช้จะเห็นการแจ้งเตือนนี้

หากคุณกำลังใช้ไคลเอ็นต์ vSphere HTML5 การตั้งค่านี้จะถูกระบุในไฟล์การกำหนดค่าบนเซิร์ฟเวอร์ vCenter Server Appliance:/etc/vmware/vsphere-ui/webclient.properties .

เปิดไฟล์และค้นหาพารามิเตอร์ sso.pending.password.expiration.notification.days .

VMWare vSphere:การจัดการการตั้งค่าการหมดอายุของรหัสผ่าน

เปลี่ยนค่าเป็น 7 หมายความว่าการแจ้งเตือนการหมดอายุรหัสผ่านจะปรากฏขึ้น 7 วันก่อนที่จะเกิดขึ้น จากนั้นรีสตาร์ทไคลเอนต์ vSphere ของคุณ:

service-control --stop vsphere-ui
service-control --start vsphere-ui

หากคุณใช้ Web Client แบบเก่า (Flex) คุณจะต้องเปลี่ยนค่าของ sso.pending.password.expiration.notification.days พารามิเตอร์ใน /etc/vmware/vsphere-client/webclient.properties ไฟล์.

หลังจากที่คุณแก้ไขการตั้งค่าแล้ว ให้เริ่มบริการเว็บไคลเอ็นต์:

service-control --stop vsphere-client
service-control --start vsphere-client