VMWare vSphere User Password Expiration Management

Okresowo w interfejsie klienta vSphere pojawia się powiadomienie o potrzebie zresetowania hasła: Twoje hasło wygaśnie za xx dni. Chciałem sam dowiedzieć się, jak zarządzać strategiami haseł w VMWare vSphere, czy można zmienić powiadomienie o wygaśnięciu hasła dla lokalnych i domenowych użytkowników klienta vSphere oraz czy można skonfigurować hasła dla niektórych użytkowników, aby były nieograniczone (nigdy nie wygasają). Oto, co udało nam się wykopać:

Treść

  • Zasady haseł jednokrotnego logowania w VMware vCenter
  • Indywidualna polityka haseł dla lokalnych użytkowników VMWare vCSA
  • Czas ważności hasła dla roota w vCSA
  • Powiadomienie o wygaśnięciu hasła w vCenter

Zasady haseł jednokrotnego logowania w VMware vCenter

W moim przypadku postanowiłem wyłączyć wymóg zmiany hasła dla lokalnego użytkownika [email protected] (ponieważ nikt nie pracuje stale pod tym użytkownikiem, a administratorzy są upoważnieni na kontach w swojej domenie AD).

W przypadku lokalnych użytkowników vCenter zasada SSO jest stosowana domyślnie, co wymaga zmiany hasła użytkownika co 90 dni.

Ustawienia strategii hasła logowania jednokrotnego znajdują się w sekcji Klient vSphere: Administracja -> Pojedyncze logowanie -> Konfiguracja.

Jak widać na karcie Zasady haseł, do haseł wszystkich lokalnych użytkowników vCSA mają zastosowanie następujące wymagania:

  • Minimalna długość to 8 znaków (maksymalna to 20);
  • Hasło jest ważne przez 90 dni;
  • Zabrania się używania ostatnich 5 haseł;
  • Istnieją ograniczenia dotyczące złożoności hasła.

Naciśnij przycisk Edytuj i zmień ustawienia zasad. Na przykład możesz zmienić wartość Maksymalny okres użytkowania przedtem 365 (oznacza to, że hasła należy zmieniać raz w roku), lub podaj tutaj 0 (co oznacza, że ​​hasło nie wygasło).

Indywidualna polityka haseł dla lokalnych użytkowników VMWare vCSA

Jeśli nie chcesz zmieniać zasad haseł dla wszystkich użytkowników, możesz zmienić ustawienia wygaśnięcia hasła dla konkretnego użytkownika. Na przykład chcesz, aby hasło lokalnego użytkownika backup_user nigdy nie wygasało (czyni je nieograniczonym). Aby to zrobić, musisz połączyć się z hostem vCSA za pomocą klienta SSH.

Włącz dostęp SSH do vCSA poprzez zarządzanie urządzeniami (https: // your_vcenter: 5480 / ui / access) w sekcji Access -> Logowanie Ssh -> Włączone.

Potrzebujemy narzędzia reż, który jest w katalogu / usr / lib / vmware-vmafd / bin /.

cd / usr / lib / vmware-vmafd / bin /

Sprawdź, czy istnieje taki użytkownik:

./ dir-cli użytkownik find-by-name - konto użytkownika kopii zapasowej

Wpisz hasło dla [email protected]:
Konto: backup_user
UPN: [email protected]

Możesz zmienić hasło dla tego użytkownika:

./ dir-cli reset hasła --account backup_user - hasło OldP @ ssw0rd - new NewP @ ssw0rd

Lub wskaż, że hasło użytkownika nigdy nie powinno wygasać:

./ dir-cli modyfikacja użytkownika --account użytkownik_kopii zapasowej - hasło-nigdy-wygasa
Wpisz hasło dla [email protected]:
Hasło ustawione na nigdy nie wygasa dla użytkownika [backup_user]

Czas ważności hasła dla roota w vCSA

Podczas instalowania urządzenia vCenter Server Appliance użytkownik root ma również ustawiony okres ważności hasła na 365 dni (w vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.

Ustawienia zasad haseł dla roota można sprawdzić w vCSA Appliance Management (https: // twoje_vcenter: 5480 / ui / access). Przejdź do sekcji Administracja i sprawdź wartość parametrów w sekcji Ustawienia wygasania hasła.

  • Hasło wygasa: Tak
  • Ważność hasła (dni): 90
  • Hasło wygasa: 13 czerwca 2019 r., 5:00:00 AM

Możesz przedłużyć hasło roota lub ustawić, aby hasło root nigdy nie wygasło (wartość 0).

Podobnie możesz sprawdzić datę wygaśnięcia hasła roota z konsoli serwera:

chage -l root

Ostatnia zmiana hasła: 15 marca 2019 r
Hasło wygasa: 13 czerwca 2019 r
Hasło nieaktywne: nigdy
Konto wygasa: nigdy
Minimalna liczba dni między zmianą hasła: 0
Maksymalna liczba dni między zmianą hasła: 90
Liczba dni ostrzeżenia przed wygaśnięciem hasła: 7

Co ciekawe, w interfejsie vCSA Appliance Management użytkownik root nie jest proszony o zmianę hasła i nie ma ostrzeżenia o jego wygaśnięciu.

Jednak podczas wykonywania operacji aktualizacji urządzenia vCenter Server Appliance może wystąpić błąd:

Hasło administratora urządzenia (OS) wygasło lub wkrótce wygaśnie. Zmień hasło roota przed instalacją aktualizacji.

Lub, gdy spróbujesz zmienić hasło roota poprzez vCSA Appliance Management za pomocą wygasłego hasła, może pojawić się ostrzeżenie:

Odmowa zezwolenia. Ustaw maksymalną liczbę dni, kiedy hasło wygaśnie. Konfiguracja administratora została zaktualizowana.

W takim przypadku musisz zmienić hasło roota z konsoli vCSA za pomocą zwykłego polecenia:

passwd

Powiadomienie o wygaśnięciu hasła w vCenter

Domyślnie powiadomienie klienta vCenter o wygaśnięciu hasła użytkownika zaczyna być wyświetlane 30 dni przed jego wygaśnięciem.

W przypadku, gdy użytkownicy logują się do vCenter na swoich kontach AD, hasła haseł są stosowane do haseł użytkowników. A dla użytkownika powiadomienie zaczyna zmieniać hasło na 30 dni przed jego wygaśnięciem. Tj. jeśli w domenie korzystasz z zasady zmiany hasła dla użytkowników co 30 dni dla użytkowników, to użytkownicy interfejsu vCenter stale mają irytujące przypomnienie Twoje hasło wygaśnie.

W vCSA możesz skonfigurować, ile dni przed wygaśnięciem hasła użytkownik otrzyma to powiadomienie.

Jeśli używasz klienta vSphere HTML5, to ustawienie jest określone w pliku konfiguracyjnym na serwerze vCenter Server Appliance w /etc / vmware / vsphere-ui / webclient.properties.

Otwórz plik i znajdź parametr sso.pending.password.expiration.notification.days.

Zmień jego wartość na 7 (oznacza to, że powiadomienie o wygaśnięciu hasła będzie wyświetlane przez 7 dni) i zrestartuj klienta vSphere:

kontrola usług - stop vsphere-ui
kontrola usług - start vsphere-ui

Jeśli używasz starego klienta WWW (Flex), musisz zmienić wartość parametru sso.pending.password.expiration.notification.days w pliku /etc/vmware/vsphere-client/webclient.properties.

Po edycji ustawień musisz także ponownie uruchomić usługę klienta WWW:

kontrola usług - zatrzymaj vsphere-client
kontrola usług - uruchom vsphere-client