ในบางครั้งในอินเทอร์เฟซ vSphere Client ฉันพบการแจ้งเตือน:Your password will expire in xx days . ฉันตัดสินใจเรียนรู้วิธีจัดการนโยบายรหัสผ่านใน VMWare vSphere วิธีเปลี่ยนเวลาที่การแจ้งเตือนการหมดอายุของรหัสผ่านปรากฏขึ้นสำหรับผู้ใช้ vSphere ในเครื่องและโดเมน และตั้งค่ารหัสผ่านสำหรับผู้ใช้บางคนไม่ให้หมดอายุ นี่คือสิ่งที่ฉันได้พบ
นโยบายรหัสผ่านและล็อกเอาต์ในการลงชื่อเพียงครั้งเดียวของ VMWare (SSO)
ในกรณีของฉัน ฉันตัดสินใจปิดใช้งานการหมดอายุของรหัสผ่านสำหรับผู้ใช้ในพื้นที่ administrator@vcenter.local (เนื่องจากไม่มีใครทำงานภายใต้บัญชีท้องถิ่นนี้อย่างถาวร และผู้ดูแลระบบ vSphere ตรวจสอบสิทธิ์ภายใต้บัญชีโดเมน Active Directory)
โดยค่าเริ่มต้น นโยบาย SSO จะใช้กับผู้ใช้ภายใน vSphere ซึ่งกำหนดให้ต้องเปลี่ยนรหัสผ่านผู้ใช้ทุก 90 วัน
คุณสามารถค้นหาการตั้งค่านโยบายรหัสผ่าน SSO ได้ในส่วนต่อไปนี้ของไคลเอ็นต์ vSphere:การดูแลระบบ -> การลงชื่อเพียงครั้งเดียว -> การกำหนดค่า .
ดังที่คุณเห็นในแท็บนโยบายรหัสผ่าน ข้อกำหนดต่อไปนี้จะมีผลกับรหัสผ่านของผู้ใช้ vCSA ในเครื่องทั้งหมด:
- ความยาวของรหัสผ่านขั้นต่ำคือ 8 อักขระ (สูงสุด — 20 อักขระ)
- รหัสผ่านจะหมดอายุใน 90 วัน (อายุการใช้งานสูงสุด);
- ไม่อนุญาตให้ใช้รหัสผ่าน 5 รายการสุดท้ายซ้ำ
- ข้อจำกัดด้านความซับซ้อนของรหัสผ่านบางประการ
คลิกแก้ไข และเปลี่ยนการตั้งค่านโยบาย ตัวอย่างเช่น คุณสามารถเปลี่ยนอายุการใช้งานสูงสุด ถึง 365 (หมายความว่าคุณต้องเปลี่ยนรหัสผ่านปีละครั้ง) หรือป้อน 0 ที่นี่ (หมายความว่ารหัสผ่านยังไม่หมดอายุ)
เปลี่ยนการตั้งค่าการหมดอายุของรหัสผ่านเป็นไม่มีวันหมดอายุสำหรับผู้ใช้ VMware vCSA ในเครื่อง
หากคุณไม่ต้องการเปลี่ยนนโยบายรหัสผ่านสำหรับผู้ใช้ vCenter ทั้งหมด คุณสามารถเปลี่ยนนโยบายรหัสผ่านและการตั้งค่าการหมดอายุสำหรับผู้ใช้เฉพาะ ตัวอย่างเช่น คุณต้องการตั้งค่ารหัสผ่านสำหรับ backup_userในเครื่อง ที่จะไม่มีวันหมดอายุ โดยเชื่อมต่อกับโฮสต์ vCSA ของคุณโดยใช้ไคลเอ็นต์ SSH
เปิดใช้งานการเข้าถึง SSH เพื่อ vCSA ใน การเข้าถึง -> เข้าสู่ระบบ SSH -> เปิดใช้งาน ส่วนของการจัดการอุปกรณ์ (https://your_vcenter_name:5480/ui/access )
คุณจะต้องมี dir-cli เครื่องมือ ซึ่งอยู่ใน /usr/lib/vmware-vmafd/bin/ .
cd /usr/lib/vmware-vmafd/bin/
ตรวจสอบว่ามีผู้ใช้ในเครื่อง:
./dir-cli user find-by-name --account backup_user
ป้อนรหัสผ่านสำหรับ administrator@vcenter.local:Account:backup_userUPN:backup_user@VCENTER.LOCAL/
คุณสามารถเปลี่ยนรหัสผ่านสำหรับผู้ใช้รายนี้:
./dir-cli password reset --account backup_user --password OldBackupP@$$ --new NewBackupP@$$
หรือคุณสามารถตั้งรหัสผ่านให้ไม่มีวันหมดอายุ:
./dir-cli user modify --account backup_user --password-never-expires
ป้อนรหัสผ่านสำหรับ administrator@vsphere.local:รหัสผ่านที่กำหนดให้ไม่มีวันหมดอายุสำหรับ [backup_user]
รูทรหัสผ่านหมดอายุบน vCenter VCSA
เมื่อคุณติดตั้ง vCenter Server Appliance อายุการใช้งานรหัสผ่านสำหรับ root ผู้ใช้ถูกตั้งค่าเป็น 365 วัน (vCenter 6.5 หรือเก่ากว่า) หรือ 90 วัน (vSphere 6.7) ดังนั้นรูทจึงอยู่ภายใต้นโยบายการหมดอายุของรหัสผ่านด้วย
คุณสามารถดูการตั้งค่านโยบายรหัสผ่านได้ใน vCSA Appliance Management (https://your_vcenter_name:5480/ui/access ). ไปที่ การดูแลระบบ และตรวจสอบค่าใน “การตั้งค่าการหมดอายุของรหัสผ่าน ” มาตรา.
- รหัสผ่านหมดอายุ:ใช่
- อายุรหัสผ่าน (วัน):90
- รหัสผ่านหมดอายุ:13 มิ.ย. 2020, 02:00:00 น.
คุณสามารถเปลี่ยนการตั้งค่าการหมดอายุของรหัสผ่านสำหรับรูทหรือตั้งค่าให้ไม่มีวันหมดอายุได้ (หากค่าเป็น 0)
นอกจากนี้ คุณสามารถตรวจสอบการตั้งค่าการหมดอายุของรหัสผ่านรูทได้จากคอนโซล vCSA:
chage -l root
เปลี่ยนรหัสผ่านครั้งสุดท้าย :15 มี.ค. 2019รหัสผ่านหมดอายุ :20 มิ.ย. 2019รหัสผ่านไม่ทำงาน :neverAccount หมดอายุ :neverMinimum จำนวนวันระหว่างการเปลี่ยนรหัสผ่าน :0จำนวนวันสูงสุดระหว่างการเปลี่ยนรหัสผ่าน :90จำนวนวันที่เตือนก่อนรหัสผ่านหมดอายุ :7เป็นเรื่องที่น่าสนใจที่อินเทอร์เฟซ vCSA Appliance Management ไม่แจ้งให้รูทเปลี่ยนรหัสผ่านหรือแสดงคำเตือนการหมดอายุของรหัสผ่าน
อย่างไรก็ตาม หากคุณพยายามอัพเกรด vCenter Server Appliance คุณอาจพบข้อความแสดงข้อผิดพลาดต่อไปนี้:
รหัสผ่าน root ของอุปกรณ์ (OS) หมดอายุหรือกำลังจะหมดอายุเร็วๆ นี้ โปรดเปลี่ยนรหัสผ่านรูทก่อนติดตั้งการอัปเดตหรือเมื่อพยายามเปลี่ยนรหัสผ่านรูทที่หมดอายุใน vCSA Appliance Management คำเตือนอาจปรากฏขึ้น:
การอนุญาตถูกปฏิเสธ กำหนดจำนวนวันสูงสุดที่รหัสผ่านจะหมดอายุ อัปเดตการกำหนดค่าผู้ดูแลระบบเรียบร้อยแล้วในกรณีนี้ คุณต้องเปลี่ยนรหัสผ่านรูทในคอนโซล vCSA ด้วยคำสั่งนี้:
passwd
การเปลี่ยนการตั้งค่าการแจ้งเตือนการหมดอายุของรหัสผ่านบน VMWare vCenter
โดยค่าเริ่มต้น การแจ้งเตือนรหัสผ่านที่ใกล้หมดอายุใน vCenter Client จะเริ่มปรากฏ 30 วันก่อนจะหมดอายุ
หากผู้ใช้ตรวจสอบสิทธิ์ใน vCenter โดยใช้บัญชี AD นโยบายรหัสผ่านของโดเมนจะถูกนำไปใช้กับรหัสผ่านของผู้ใช้ ผู้ใช้จะเห็นการแจ้งเตือนให้เปลี่ยนรหัสผ่าน 30 วันก่อนหมดอายุ ดังนั้น หากนโยบายโดเมนของคุณบังคับให้เปลี่ยนรหัสผ่านหนึ่งครั้งใน 30 วัน ผู้ใช้ VMWare vCenter จะเห็นคำเตือนที่น่ารำคาญอยู่เสมอ
Your password will expire.ใน vCSA คุณสามารถกำหนดจำนวนวันก่อนที่รหัสผ่านจะหมดอายุ ผู้ใช้จะเห็นการแจ้งเตือนนี้
หากคุณกำลังใช้ไคลเอ็นต์ vSphere HTML5 การตั้งค่านี้จะถูกระบุในไฟล์การกำหนดค่าบนเซิร์ฟเวอร์ vCenter Server Appliance:
/etc/vmware/vsphere-ui/webclient.properties.เปิดไฟล์และค้นหาพารามิเตอร์ sso.pending.password.expiration.notification.days .
เปลี่ยนค่าเป็น 7 หมายความว่าการแจ้งเตือนการหมดอายุรหัสผ่านจะปรากฏขึ้น 7 วันก่อนที่จะเกิดขึ้น จากนั้นรีสตาร์ทไคลเอนต์ vSphere ของคุณ:
service-control --stop vsphere-ui
service-control --start vsphere-uiหากคุณใช้ Web Client แบบเก่า (Flex) คุณจะต้องเปลี่ยนค่าของ sso.pending.password.expiration.notification.days พารามิเตอร์ใน
/etc/vmware/vsphere-client/webclient.propertiesไฟล์.หลังจากที่คุณแก้ไขการตั้งค่าแล้ว ให้เริ่มบริการเว็บไคลเอ็นต์:
service-control --stop vsphere-client
service-control --start vsphere-client
