Manajemen Kedaluwarsa Kata Sandi Pengguna VMWare vSphere

Secara berkala, di antarmuka Klien vSphere, saya menemukan pemberitahuan tentang perlunya mengatur ulang kata sandi: Kata sandi Anda akan kedaluwarsa dalam xx hari. Saya ingin mengetahui sendiri bagaimana mengelola kebijakan kata sandi di VMWare vSphere, apakah mungkin untuk mengubah pemberitahuan kedaluwarsa kata sandi untuk pengguna lokal dan domain klien vSphere, dan apakah mungkin untuk mengkonfigurasi kata sandi bagi pengguna tertentu agar tidak terbatas (tidak pernah kedaluwarsa). Inilah yang berhasil kami gali:

Konten:

  • Kebijakan Kata Sandi SSO di VMware vCenter
  • Kebijakan kata sandi individual untuk pengguna VMWare vCSA lokal
  • Waktu kedaluwarsa kata sandi untuk root di vCSA
  • Pemberitahuan Kedaluwarsa Kata Sandi di vCenter

Kebijakan Kata Sandi SSO di VMware vCenter

Dalam kasus saya, saya memutuskan untuk menonaktifkan persyaratan perubahan kata sandi untuk pengguna lokal [email protected] (karena tidak ada yang terus bekerja di bawah pengguna ini, dan administrator diotorisasi di bawah akun domain AD mereka).

Untuk pengguna vCenter lokal, kebijakan SSO diterapkan secara default, yang mengharuskan perubahan kata sandi pengguna setiap 90 hari.

Pengaturan kebijakan kata sandi SSO terletak di bagian vSphere Client: Administrasi -> Masuk tunggal -> Konfigurasi.

Seperti yang Anda lihat pada tab Kebijakan Kata Sandi, persyaratan berikut berlaku untuk kata sandi semua pengguna vCSA lokal:

  • Panjang minimum adalah 8 karakter (maksimum adalah 20);
  • Kata sandi berlaku selama 90 hari;
  • Dilarang menggunakan 5 kata sandi terakhir;
  • Ada batasan kompleksitas kata sandi.

Tekan tombol Edit dan ubah pengaturan kebijakan. Misalnya, Anda dapat mengubah nilainya Seumur hidup maksimum sebelumnya 365 (Ini berarti bahwa kata sandi perlu diubah setahun sekali), atau tentukan di sini 0 (artinya kata sandi tidak kedaluwarsa).

Kebijakan kata sandi individual untuk pengguna VMWare vCSA lokal

Jika Anda tidak ingin mengubah kebijakan kata sandi untuk semua pengguna, Anda dapat mengubah pengaturan kedaluwarsa kata sandi untuk pengguna tertentu. Misalnya, Anda ingin kata sandi pengguna backup_user lokal tidak pernah kedaluwarsa (menjadikannya tidak terbatas). Untuk melakukan ini, Anda harus terhubung ke host vCSA menggunakan klien SSH.

Aktifkan akses SSH ke vCSA melalui Manajemen Peralatan (https: // your_vcenter: 5480 / ui / akses) di bagian Akses -> Ssh masuk -> Diaktifkan.

Kami membutuhkan utilitas dir-cli, yang ada di direktori / usr / lib / vmware-vmafd / bin /.

cd / usr / lib / vmware-vmafd / bin /

Periksa apakah ada pengguna seperti itu:

./ dir-cli user find-by-name --account backup_user

Masukkan kata sandi untuk [email protected]:
Akun: backup_user
UPN: [email protected]

Anda dapat mengubah kata sandi untuk pengguna ini:

./ dir-cli atur ulang kata sandi --account backup_user --password OldP @ ssw0rd --Baru NewP @ ssw0rd

Atau tunjukkan bahwa kata sandi pengguna tidak boleh kedaluwarsa:

./ dir-cli memodifikasi pengguna --account backup_user --password-never-expires
Masukkan kata sandi untuk [email protected]:
Kata sandi diset agar tidak pernah kedaluwarsa untuk [backup_user]

Waktu kedaluwarsa kata sandi untuk root di vCSA

Saat Anda menginstal Alat Server vCenter, pengguna root juga menetapkan waktu kedaluwarsa kata sandi selama 365 hari (di vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.

Pengaturan kebijakan kata sandi untuk root dapat diperiksa di Manajemen Peralatan vCSA (https: // your_vcenter: 5480 / ui / akses). Pergi ke bagian ini Administrasi dan periksa nilai parameter di bagian pengaturan kedaluwarsa kata sandi.

  • Kata sandi kedaluwarsa: Ya
  • Validitas kata sandi (hari): 90
  • Kata sandi kedaluwarsa pada: 13 Juni 2019, 5:00:00 pagi

Anda dapat menambah kata sandi root, atau menetapkan bahwa kata sandi root tidak pernah kedaluwarsa (nilai 0).

Demikian pula, Anda dapat memeriksa kedaluwarsa kata sandi root dari konsol server:

chage -l root

Perubahan kata sandi terakhir: 15 Mar 2019
Kata sandi kedaluwarsa: 13 Jun 2019
Kata sandi tidak aktif: tidak pernah
Akun kedaluwarsa: tidak pernah
Jumlah minimum hari antara perubahan kata sandi: 0
Jumlah hari maksimum antara perubahan kata sandi: 90
Jumlah hari peringatan sebelum kata sandi berakhir: 7

Menariknya, di antarmuka Manajemen Alat vCSA, pengguna root tidak dimintai perubahan kata sandi dan tidak ada peringatan tentang kedaluwarsa.

Namun, saat melakukan operasi pemutakhiran vCenter Server Appliance, Anda mungkin mengalami kesalahan seperti:

Kata sandi root Appliance (OS) telah kedaluwarsa atau akan segera kedaluwarsa. Harap ubah kata sandi root sebelum menginstal pembaruan.

Atau, ketika Anda mencoba mengubah kata sandi root melalui vCSA Appliance Management dengan kata sandi yang kedaluwarsa, peringatan mungkin muncul:

Izin ditolak. Tetapkan jumlah hari maksimum saat kata sandi akan kedaluwarsa. Konfigurasi administrator berhasil diperbarui.

Dalam hal ini, Anda perlu mengubah kata sandi root dari konsol vCSA dengan perintah biasa:

sandiwara

Pemberitahuan Kedaluwarsa Kata Sandi di vCenter

Secara default, pemberitahuan klien vCenter tentang kedaluwarsa kata sandi pengguna mulai ditampilkan 30 hari sebelum kedaluwarsa.

Dalam hal pengguna masuk ke vCenter di bawah akun AD mereka, kebijakan kata sandi domain diterapkan untuk kata sandi pengguna. Dan untuk pengguna, pemberitahuan mulai mengubah kata sandi 30 hari sebelum berakhir. Yaitu jika dalam domain Anda menggunakan kebijakan perubahan kata sandi untuk pengguna setiap 30 hari untuk pengguna, maka pengguna di antarmuka vCenter terus-menerus memiliki pengingat yang mengganggu Kata sandi Anda akan kedaluwarsa.

Di vCSA Anda dapat mengonfigurasi berapa hari sebelum kata sandi berakhir, pengguna akan menerima pemberitahuan ini.

Jika Anda menggunakan klien HTML5 vSphere, pengaturan ini ditentukan dalam file konfigurasi pada server Server vCenter Server di /dll / vmware / vsphere-ui / webclient.properties.

Buka file dan temukan parameternya sso.pending.password.expiration.notification.days.

Ubah nilainya menjadi 7 (ini berarti pemberitahuan kedaluwarsa kata sandi akan ditampilkan selama 7 hari) dan mulai ulang klien vSphere:

kontrol-layanan - berhenti vsphere-ui
kontrol-layanan - mulai vsphere-ui

Jika Anda menggunakan Klien Web (Flex) lama, Anda perlu mengubah nilai parameter sso.pending.password.expiration.notification.days dalam file /etc/vmware/vsphere-client/webclient.properties.

Setelah mengedit pengaturan, Anda juga perlu memulai kembali layanan klien web:

kontrol-layanan - berhenti vsphere-klien
kontrol-layanan - mulai vsphere-klien