Co jakiś czas w interfejsie vSphere Client trafiam na powiadomienie: Your password will expire in xx days. Postanowiłem dowiedzieć się, jak zarządzać politykami haseł w VMWare vSphere, jak zmienić czas, po którym pojawia się powiadomienie o wygaśnięciu hasła dla lokalnych i domenowych użytkowników vSphere oraz ustawić ustawienia haseł dla niektórych użytkowników, aby nigdy nie wygasały. Oto, co znalazłem.Zawartość:
- Zasady dotyczące haseł i blokad w VMWare Single Sign On (SSO)
- Zmień ustawienia wygasania hasła, aby nigdy nie wygasały dla lokalnych użytkowników VMWare vCSA
- Wygaśnięcie hasła roota w vCenter VCSA
- Zmiana ustawień powiadomień o wygaśnięciu hasła w VMWare vCenter
Zasady dotyczące haseł i blokad w VMWare Single Sign On (SSO)
W moim przypadku zdecydowałem się wyłączyć wygasanie hasła dla lokalnego użytkownika administrator@vcenter.local (ponieważ nikt nie pracuje na tym koncie lokalnym na stałe, a administratorzy vSphere uwierzytelniają się pod swoimi kontami domeny Active Directory).
Domyślnie polityka SSO jest stosowana do lokalnych użytkowników vSphere, co wymaga zmiany hasła użytkownika co 90 dni.
Ustawienia polityki haseł SSO można znaleźć w następującej sekcji klienta vSphere: Administracja -> Pojedyncze logowanie -> Konfiguracja .
Jak widać na zakładce Password Policy, dla haseł wszystkich lokalnych użytkowników vCSA obowiązują następujące wymagania:
- Minimalna długość hasła to 8 znaków (maksymalnie — 20 znaków);
- Hasło wygasa za 90 dni (maksymalny okres ważności);
- 5 ostatnich haseł nie może być ponownie użytych;
- Niektóre ograniczenia dotyczące złożoności hasła.
Kliknij Edytuj i zmień ustawienia zasad. Na przykład możesz zmienić Maksymalny czas życia na 365 (oznacza to, że musisz zmieniać hasła raz w roku) lub wpisać tutaj 0 (oznacza to, że hasło nie wygasło).
Zmień ustawienia wygasania hasła, aby nigdy nie wygasały dla lokalnych użytkowników VMWare vCSA
Jeśli nie chcesz zmieniać zasad dotyczących haseł dla wszystkich użytkowników vCenter, możesz zmienić zasady dotyczące haseł i ustawienia wygaśnięcia dla określonego użytkownika. Na przykład chcesz ustawić hasło dla lokalnego użytkownika_kopii_zapasowej , aby nigdy nie wygasało. Aby to zrobić, połącz się z hostem vCSA za pomocą klienta SSH.Włącz dostęp SSH do vCSA w sekcji
Dostęp ->
Logowanie SSH ->
Włączone w Zarządzaniu urządzeniami (
Będziesz potrzebował narzędzia dir-cli , które znajduje się w /usr/lib/vmware-vmafd/bin/ .
cd /usr/lib/vmware-vmafd/bin/
Sprawdź, czy użytkownik lokalny istnieje:
./dir-cli user find-by-name --account backup_user
Wprowadź hasło dla administrator@vcenter.local: Konto: użytkownik_zapasowy UPN: backup_user@VCENTER.LOCAL/
Możesz zmienić hasło dla tego użytkownika:
./dir-cli password reset --account backup_user --password OldBackupP@$$ --new NewBackupP@$$
Lub możesz ustawić hasło, aby nigdy nie wygasało:
./dir-cli user modify --account backup_user --password-never-expires
Wprowadź hasło dla administrator@vsphere.local: Hasło ustawione tak, aby nigdy nie wygasało dla użytkownika [backup_user]
Wygaśnięcie hasła roota w vCenter VCSA
Podczas instalacji vCenter Server Appliance okres ważności hasła dla użytkownika root jest ustawiony na 365 dni (vCenter 6.5 lub starszy) lub 90 dni (vSphere 6.7). Tak więc root podlega również zasadom wygasania haseł.
Ustawienia polityki haseł można wyświetlić w narzędziu vCSA Appliance Management ( https://your_vcenter_name:5480/ui/access). Przejdź do sekcji Administracja i sprawdź wartości w sekcji „Ustawienia wygaśnięcia hasła ”.
- Hasło wygasa: Tak
- Ważność hasła (dni): 90
- Hasło wygasa: 13 czerwca 2020 r., 2:00:00
Możesz zmienić ustawienia wygaśnięcia hasła dla użytkownika root lub ustawić je tak, aby nigdy nie wygasało (jeśli jego wartość wynosi 0).
Możesz także sprawdzić ustawienie wygaśnięcia hasła roota z konsoli vCSA:
chage -l root
Ostatnia zmiana hasła: 15 marca 2019 r Hasło wygasa: 20 czerwca 2019 r Hasło nieaktywne: nigdy Konto wygasa: nigdy Minimalna liczba dni między zmianą hasła: 0 Maksymalna liczba dni między zmianą hasła: 90 Liczba dni ostrzeżenia przed wygaśnięciem hasła: 7
Co ciekawe, interfejs vCSA Appliance Management nie monituje roota o zmianę hasła ani nie wyświetla żadnego ostrzeżenia o wygaśnięciu hasła.
Jeśli jednak spróbujesz zaktualizować vCenter Server Appliance, możesz napotkać następujący komunikat o błędzie:
Hasło roota urządzenia (OS) wygasło lub wkrótce wygaśnie. Zmień hasło roota przed zainstalowaniem aktualizacji.
Lub podczas próby zmiany wygasłego hasła roota w vCSA Appliance Management może pojawić się ostrzeżenie:
Odmowa pozwolenia. Ustaw maksymalną liczbę dni, po których hasło wygaśnie. Pomyślnie zaktualizowano konfigurację administratora.
W takim przypadku musisz zmienić hasło roota w konsoli vCSA za pomocą tego polecenia:
passwd
Zmiana ustawień powiadomień o wygaśnięciu hasła w VMWare vCenter
Domyślnie powiadomienie o wygaśnięciu hasła w kliencie vCenter zaczyna pojawiać się 30 dni przed jego wygaśnięciem.
Jeśli użytkownicy uwierzytelniają się w vCenter przy użyciu swoich kont AD, zasady haseł domeny są stosowane do haseł użytkowników. Użytkownik zobaczy powiadomienie z prośbą o zmianę hasła na 30 dni przed jego wygaśnięciem. Jeśli więc zasady Twojej domeny wymuszają zmianę hasła raz na 30 dni, użytkownicy VMWare vCenter stale widzą irytujące ostrzeżenie Your password will expire.
W vCSA możesz skonfigurować ile dni przed wygaśnięciem hasła użytkownik zobaczy to powiadomienie.
Jeśli używasz klienta vSphere HTML5, to ustawienie jest określone w pliku konfiguracyjnym na serwerze vCenter Server Appliance: /etc/vmware/vsphere-ui/webclient.properties.
Otwórz plik i znajdź parametr sso.pending.password.expiration.notification.days .
Zmień jego wartość na 7. Oznacza to, że powiadomienie o wygaśnięciu hasła pojawi się 7 dni wcześniej. Następnie zrestartuj klienta vSphere:
service-control --stop vsphere-ui
service-control --start vsphere-ui
Jeśli używasz starego klienta WWW (Flex), będziesz musiał zmienić wartość parametru sso.pending.password.expiration.notification.days w /etc/vmware/vsphere-client/webclient.propertiespliku.
Po dokonaniu edycji ustawienia uruchom ponownie usługę Web Client:
service-control --stop vsphere-client
service-control --start vsphere-client
Źródło Link