Периодично в интерфейса на vSphere Client попадам на известие за необходимостта от нулиране на паролата: Вашата парола ще изтече след xx дни. Исках да разбера за себе си как да управлявам политиките за пароли във VMWare vSphere, дали е възможно да промените периода за известяване на паролата за локални и домейн потребители на vSphere клиента и дали е възможно да конфигурирате паролите за определени потребители да бъдат неограничени (никога не изтичат). Ето какво успяхме да изкопаем:
Съдържание:
- Политика за парола за SSO във VMware vCenter
- Индивидуална политика за пароли за местните потребители на VMWare vCSA
- Време за изтичане на паролата за root в vCSA
- Известие за изтичане на парола в vCenter
Политика за парола за SSO във VMware vCenter
В моя случай реших да деактивирам изискването за промяна на паролата за местния потребител [email protected] (тъй като никой не работи постоянно под този потребител и администраторите са упълномощени по сметките на домейна им AD).
За локалните потребители на vCenter политиката SSO се прилага по подразбиране, което изисква промяна на паролата на потребителя на всеки 90 дни.
Настройките на правилата за парола за SSO се намират в секцията клиент vSphere: администрация -> Единичен вход -> Конфигурация.
Както можете да видите в раздела Политика за паролите, следните изисквания се отнасят за паролата на всички местни потребители на vCSA:
- Минималната дължина е 8 знака (максималната е 20);
- Паролата е валидна за 90 дни;
- Забранено е използването на последните 5 пароли;
- Има ограничения за сложността на паролата.
Натиснете бутона редактирам и променете настройките на правилата. Например, можете да промените стойността Максимален живот за 365 (това означава, че паролите трябва да се променят веднъж годишно) или посочете тук 0 (което означава, че паролата не е изтекла).
Индивидуална политика за пароли за местните потребители на VMWare vCSA
Ако не искате да промените правилата за паролата за всички потребители, можете да промените настройките за изтичане на паролата за конкретен потребител. Например, искате паролата на местния потребител backup_user никога да не изтече (направи я неограничена). За да направите това, трябва да се свържете с хоста на vCSA, използвайки SSH клиента.
Активирайте SSH достъп до vCSA чрез Управление на уреди (https: // your_vcenter: 5480 / ui / access) в секцията достъп -> Ssh вход -> Enabled.
Нуждаем се от помощна програма реж-CLI, която е в директорията / usr / lib / vmware-vmafd / bin /.
cd / usr / lib / vmware-vmafd / bin /
Проверете дали има такъв потребител:
./ dir-cli user find-by-name --account backup_user
Въведете парола за [email protected]:
Акаунт: backup_user
UPN: [email protected]
Можете да промените паролата за този потребител:
./ dir-cli reset password --account backup_user --password OldP @ ssw0rd - нов NewP @ ssw0rd
Или посочете, че потребителската парола никога не трябва да изтича:
./ dir-cli потребител промяна --account backup_user --password-never-endВъведете парола за [email protected]:
Зададена парола никога не изтича за [backup_user]
Време за изтичане на паролата за root в vCSA
Когато инсталирате vCenter Server Appliance, на root потребител също се задава време за изтичане на паролата от 365 дни (в vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.
Настройките на политиката за паролата за root могат да бъдат проверени в vCSA Appliance Management (https: // your_vcenter: 5480 / ui / access). Отидете в секцията администрация и проверете стойността на параметрите в секцията с настройки за изтичане на парола.
- Паролата изтича: Да
- Валидност на паролата (дни): 90
- Паролата изтича на: 13 юни 2019 г., 5:00:00 ч
Можете да разширите паролата за корен или да зададете, че паролата за корен никога не изтича (стойност 0).
По същия начин можете да проверите изтичането на изтичането на корен парола от конзолата на сървъра:
chage -l корен
Последна промяна на паролата: 15 март 2019 г.
Паролата изтича: 13 юни 2019 г.
Парола неактивна: никога
Сметката изтича: никога
Минимален брой дни между смяна на паролата: 0
Максимален брой дни между смяна на паролата: 90
Брой дни на предупреждение преди изтичане на паролата: 7
Интересното е, че в интерфейса на vCSA Appliance Management потребител на root не е подканен за промяна на парола и няма предупреждение за неговото изтичане.
Въпреки това, когато извършвате операции за надграждане на vCenter Server Appliance, може да срещнете грешка като:
Коренната парола на приложението (OS) е изтекла или скоро ще изтече. Моля, променете основната парола, преди да инсталирате актуализация.
Или когато се опитате да промените паролата на root чрез vCSA Appliance Management с изтекла парола, може да се появи предупреждение:
Разрешението е отказано. Задайте максималния брой дни, когато паролата ще изтече. Конфигурацията на администратора е актуализирана успешно.
В този случай трябва да промените главната парола от vCSA конзолата с обичайната команда:
ако съществува
Известие за изтичане на парола в vCenter
По подразбиране, vCenter клиентското известие за изтичане на паролата на потребителя започва да се показва 30 дни преди да изтече.
В случай, че потребителите влизат в vCenter под своите AD акаунти, за потребителските пароли се прилагат правила за паролата на домейна. А за потребителя известието започва да променя паролата 30 дни преди да изтече. Т.е. ако в домейна използвате политика за промяна на парола за потребителите на всеки 30 дни за потребителите, тогава потребителите в vCenter интерфейса постоянно имат досадно напомняне Вашата парола ще изтече.
В vCSA можете да конфигурирате колко дни преди изтичане на паролата потребителят ще получи това известие.
Ако използвате клиента на HTML5 vSphere, тази настройка се посочва в конфигурационния файл на сървъра за vCenter Server Appliance в /и т.н. / vmware / vsphere-ui / webclient.properties.
Отворете файла и намерете параметъра sso.pending.password.expiration.notification.days.
Променете стойността му на 7 (това означава, че известие за изтичане на парола ще се показва за 7 дни) и рестартирайте клиента vSphere:
обслужване-контрол - стоп vsphere-ui
сервиз-контрол - старт vsphere-ui
Ако използвате стар уеб клиент (Flex), трябва да промените стойността на параметъра sso.pending.password.expiration.notification.days във файл /etc/vmware/vsphere-client/webclient.properties.
След редактиране на настройките също трябва да рестартирате услугата на уеб клиента:
услуга-контрол - стоп vsphere-клиент
service-control - стартира vsphere-клиент
