Quantcast
Channel: VMware Communities : Blog List - All Communities
Viewing all articles
Browse latest Browse all 3135

ESXi 6.0 ローカルユーザのパスワードルール変更について。(PowerCLI にて)

$
0
0

※2015/04/20 1:32:28 の投稿です。

 

少し前のこのポストの続きですが・・・

vSphere 6.0 の 新機能について。(ESXi ローカルユーザ管理)


ESXi 5.5 までは、パスワードルールを変更する場合は、認証にかかわる(PAM の)設定ファイルを

ESXi に直接ログインしたうえで、vi 等のテキストエディタで編集する必要がありました。

※Enterprise Plus であれば Host Profile でも設定可能ですが・・・


ESX、ESXi 4.x および 5.x でのパスワードの要件と制限

http://kb.vmware.com/kb/2079822


この設定ファイル(/etc/pam.d/passwd)を直接編集していました。

~ # vmware -vl

VMware ESXi 5.5.0 build-2456374

VMware ESXi 5.5.0 Update 2

~ # cat /etc/pam.d/passwd

#%PAM-1.0

 

password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6

password   sufficient   /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512

password   required     /lib/security/$ISA/pam_deny.so


ESXi 6.0 からは、パスワードルールが ESXi の詳細オプション

「Security.PasswordQualityControl」で管理されるようになりました。

そのため、vCenter から管理下の ESXi の設定をまとめて変更可能になります。

 

ESXi のパスワード、ESXi のパス フレーズ、およびアカウント ロックアウト

http://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.security.doc/GUID-DC96FFDB-F5F2-43EC-8C73-05ACDAE6BE43.html

 

ESXi 6.0 の /etc/pam.d/passwd ファイルにも、

詳細オプションで設定変更するようにコメントがあります。

※ちなみに、ESXi 6.0 からパスワードルールのデフォルト値も変更されています。

[root@hv60n04:~] vmware -vl

VMware ESXi 6.0.0 build-2494585

VMware ESXi 6.0.0 GA

[root@hv60n04:~] cat /etc/pam.d/passwd

#%PAM-1.0

 

# Change only through host advanced option "Security.PasswordQualityControl".

password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7

password   sufficient   /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512

password   required     /lib/security/$ISA/pam_deny.so

 

ちなみにパスワードルールは、ファイルを編集すると即時反映されます。

パスワードルールは、passwd コマンド実行時にも表示されるようになっていて

たとえば ESXi の root ユーザのパスワードを変更しようとすると下記のようになります。

※これは ESXi というより passwdqc の機能のため、以前の ESXi でも表示されます。

[root@hv60n04:~] passwd root

Changing password for root

 

You can now choose the new password.

 

A valid password should be a mix of upper and lower case letters,

digits, and other characters.  You can use a 7 character long

password with characters from at least 3 of these 4 classes.

An upper case letter that begins the password and a digit that

ends it do not count towards the number of character classes used.

 

Alternatively, if noone else can see your terminal now, you can

pick this as your password: "gehyl=ebbg&wbo".

 

Enter new password:

 

パスワードルール設定変更(GUI にて)

 

Web Client から ESXi の詳細設定を見ると、

新たに「Security.PasswordQualityControl」が追加されていることがわかります。

esxi60-pam-passwdqc-01.png


この設定を変更すると、/etc/pam.d/passwd に即時反映されます。

esxi60-pam-passwdqc-02.png


ちなみに、vSphere Client でも変更可能です。

esxi60-pam-passwdqc-03.png

 

パスワードルール設定変更(PowerCLI にて

 

まず、vCenter に接続します。

PowerCLI> Connect-VIServer vc60n02.godc.lab

 

PowerCLI> $global:DefaultVIServer | select Name,Version,Build | ft -AutoSize

 

Name             Version Build

----             ------- -----

vc60n02.godc.lab 6.0     2559267

 

ESXi のバージョンは、6.0 GA です。

今回の ESXi のホスト名は hv60n04.godc.lab です。

PowerCLI> Get-VMHost hv60n04.godc.lab | select Name,Version,Build | sort Name | ft -AutoSize

 

Name             Version Build

----             ------- -----

hv60n04.godc.lab 6.0.0   2494585

 

Get-AdvancedSetting で、Security.~ という名前のパラメータを見てみます。

Security.PasswordQualityControl のほかにも、

アカウント ロックアウト関連のパラメータがあります。

PowerCLI> Get-VMHost hv60n04.godc.lab | Get-AdvancedSetting Security.* | ft Name,Value -AutoSize

 

Name                            Value

----                            -----

Security.PasswordQualityControl retry=3 min=disabled,disabled,disabled,7,7

Security.AccountLockFailures    10

Security.AccountUnlockTime      120


それでは、パスワードルールを変更してみます。

ESXi 5.x の頃のデフォルト値にしてみました。

ちなみに、Get-VMHost の後に ESXi を指定しなければ、

接続中の vCenter 管理下の ESXi すべてをまとめて設定変更することができます。

PowerCLI> Get-VMHost hv60n04.godc.lab | Get-AdvancedSetting Security.PasswordQualityControl | Set-AdvancedSetting -Value "retry=3 min=8,8,8,7,6" -Confirm:$false

 

Name                 Value                Type                 Description

----                 -----                ----                 -----------

Security.Password... retry=3 min=8,8,8... VMHost

 

 

PowerCLI> Get-VMHost hv60n04.godc.lab | Get-AdvancedSetting Security.PasswordQualityControl | ft Name,Value -AutoSize

 

Name                            Value

----                            -----

Security.PasswordQualityControl retry=3 min=8,8,8,7,6

 

PowerCLI での設定変更は、/etc/pam.d/passwd に即時反映されました。

[root@hv60n04:~] cat /etc/pam.d/passwd

#%PAM-1.0

 

# Change only through host advanced option "Security.PasswordQualityControl".

password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6

password   sufficient   /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512

password   required     /lib/security/$ISA/pam_deny.so

 

これまで、ESXi のローカルユーザのパスワードルールは

デフォルトでは無効である ESXi Shell や SSH を有効にしたうえで

ESXi に直接ログインしなくては変更できませんでした。

 

vCenter にログインするだけで変更できるようになったので

どうしてもパスワードの複雑性が必要な環境では、結構便利になったのではないかと思います。

 

以上、ESXi 6.0 のパスワードルール変更でした。


Viewing all articles
Browse latest Browse all 3135

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>