Povremeno na vSphere sučelju klijenta nailazim na obavijest o potrebi resetiranja lozinke: Vaša lozinka istječe za xx dana
. Željela sam sama otkriti kako upravljati politikama zaporki u VMWare vSphere, je li moguće promijeniti razdoblje obavijesti o isteku lozinke za lokalne i domene korisnika vSphere klijenta i je li moguće konfigurirati lozinke za određene korisnike da budu neograničene (nikada ne istječu). Evo što smo uspjeli iskopati:
sadržaj:
- SSO pravila o lozinkama u VMware vCenter
- Pojedinačna pravila za lozinku za lokalne korisnike VMWare vCSA
- Vrijeme isteka lozinke za root u vCSA
- Obavijest o isteku lozinke u vCenter
SSO pravila o lozinkama u VMware vCenter
U svom slučaju odlučio sam onemogućiti zahtjev za promjenom zaporke za lokalnog korisnika [email protected]
(budući da nitko ne radi stalno pod ovim korisnikom, a administratori su ovlašteni na računima njegove AD domene).
Za lokalne korisnike vCenter-a SSO pravila primjenjuju se prema zadanim postavkama, što zahtijeva promjenu korisničke lozinke svakih 90 dana.
Postavke SSO pravila za lozinku nalaze se u odjeljku vSphere Client: uprava -> Uključena pojedinačna prijava -> konfiguracija.
Kao što možete vidjeti na kartici Politika lozinke, sljedeći se zahtjevi odnose na lozinku svih lokalnih korisnika vCSA:
- Minimalna duljina je 8 znakova (maksimalna 20);
- Lozinka vrijedi 90 dana;
- Zabranjeno je koristiti zadnjih 5 lozinki;
- Postoje ograničenja složenosti lozinke.
Pritisnite gumb Uređivanje i promijenite postavke pravila. Na primjer, možete promijeniti vrijednost Maksimalni vijek trajanja u 365 (to znači da se lozinke moraju mijenjati jednom godišnje) ili ovdje navedite 0 (što znači da lozinka nije istekla).
Pojedinačna pravila za lozinku za lokalne korisnike VMWare vCSA
Ako ne želite promijeniti pravila o zaporkama za sve korisnike, možete promijeniti postavke isteka zaporke za određenog korisnika. Na primjer, želite da lozinka lokalnog korisnika backup_user nikada ne ističe (učini je neograničenom). Da biste to učinili, morate se povezati s vCSA hostom putem SSH klijenta.
Omogućite SSH pristup vCSA putem Appliance Management (https: // your_vcenter: 5480 / ui / access) u odjeljku pristup -> Ssh prijava -> Omogućeno.Trebamo uslužni program dir-cli, koja se nalazi u imeniku / usr / lib / vmware-vmafd / bin /
.
cd / usr / lib / vmware-vmafd / bin /
Provjerite postoji li takav korisnik:
./ dir-cli user find-by-name --account backup_user
Unesite lozinku za [email protected]:
Račun: backup_user
UPN: [email protected]
Možete promijeniti lozinku za ovog korisnika:
./ dir-cli resetiranje lozinke --račun backup_user --password OldP @ ssw0rd - novi NewP @ ssw0rd
Ili naznačite da korisnička lozinka nikada ne bi trebala isteći:
./ dir-cli korisnik izmijeniti --account backup_user --password-never-out
Unesite lozinku za [email protected]:
Zaporka je postavljena da nikad ne ističe za [backup_user]
Vrijeme isteka lozinke za root u vCSA
Kada instalirate vCenter Server Appliance, korijenski korisnik je također postavljen na vrijeme isteka lozinke od 365 dana (u vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.
Postavke pravila zaporke za root mogu se provjeriti u vCSA Appliance Management (https: // your_vcenter: 5480 / ui / access). Idite na odjeljak uprava i provjerite vrijednost parametara u odjeljku postavki podešavanja lozinke.
- Zaporka istječe: Da
- Valjanost lozinke (dana): 90
- Lozinka istječe: 13. lipnja 2019. godine 05:00:00
Možete proširiti root lozinku ili postaviti da root lozinka nikada ne ističe (vrijednost 0).
Slično tome, možete provjeriti istek korijenske lozinke s konzole poslužitelja:
chage -l korijen
Zadnja promjena lozinke: 15. ožujka 2019
Zaporka istječe: 13. lipnja 2019. godine
Lozinka je neaktivna: nikad
Račun istječe: nikad
Minimalni broj dana između promjene lozinke: 0
Maksimalni broj dana između promjene lozinke: 90
Broj dana upozorenja prije isteka lozinke: 7
Zanimljivo je da u vCSA sučelju za upravljanje aparatima korijenski korisnik ne traži promjenu lozinke i nema upozorenja o njegovom isteku..
No, tijekom izvođenja operacija nadogradnje vCenter Server Appliance možete naići na pogrešku poput:
Istodobna je korijenska lozinka za aplikaciju (OS) ili uskoro ističe. Prije instaliranja ažuriranja promijenite root lozinku.
Ili kada pokušate promijeniti korijensku lozinku putem vCSA Appliance Management sa zatečenom lozinkom, može se pojaviti upozorenje:
Dozvola odbijena. Postavite maksimalni broj dana kada će lozinka isteći. Konfiguracija administratora uspješno je ažurirana.
U tom slučaju trebate promijeniti root lozinku s vCSA konzole s uobičajenom naredbom:
passwd
Obavijest o isteku lozinke u vCenter
Prema zadanim postavkama, vCenter klijent obavijesti o isteku korisničke lozinke počinje se prikazivati 30 dana prije isteka.
U slučaju da se korisnici prijavljuju u vCenter pod svojim AD računima, za lozinke korisnika primjenjuju se pravila o lozinkama domena. A za korisnika, obavijest počinje mijenjati lozinku 30 dana prije isteka. tj ako na domeni upotrebljavate pravila za promjenu zaporke za korisnike svakih 30 dana za korisnike, tada korisnici u vCenter sučelju stalno imaju neugodne podsjetnike Vaša lozinka istječe.
U vCSA možete konfigurirati koliko dana prije nego što lozinka istekne korisnik će primiti ovu obavijest.
Ako koristite HTML5 vSphere klijent, ova je postavka navedena u konfiguracijskoj datoteci na poslužitelju vCenter Server Appliance na /itd. / vmware / vsphere-ui / webclient.properties.
Otvorite datoteku i pronađite parametar sso.pending.password.expiration.notification.days.
Promijenite njegovu vrijednost u 7 (to znači da će se obavijest o isteku lozinke prikazati 7 dana) i ponovno pokrenite vSphere klijent:
servis-kontrola - stop vsphere-ui
servis-kontrola - pokrenuti vsphere-ui
Ako koristite stari web-klijent (Flex), trebate promijeniti vrijednost parametra sso.pending.password.expiration.notification.days u datoteci /etc/vmware/vsphere-client/webclient.properties.
Nakon uređivanja postavki također trebate ponovo pokrenuti uslugu web klijenta:
usluga-kontrola - stop vsphere-klijent
usluga-kontrola --pokretanje vsphere-klijenta