V klientskom rozhraní vSphere sa pravidelne stretávam s oznámením o potrebe obnovenia hesla: Platnosť vášho hesla vyprší o xx dní. Chcel som pre seba prísť na to, ako spravovať politiky hesiel v systéme VMWare vSphere, či je možné zmeniť dobu oznámenia hesla platnosti pre miestnych a doménových používateľov klienta vSphere a či je možné nakonfigurovať heslá pre určitých používateľov tak, aby boli neobmedzené (nikdy nevyprší). Tu sa nám podarilo vykopať:
obsah:
- Zásady hesla SSO v VMware vCenter
- Individuálna politika hesiel pre lokálnych používateľov VMWare vCSA
- Čas vypršania platnosti hesla pre root v vSA
- Oznámenie o uplynutí platnosti hesla v vCenter
Zásady hesla SSO v VMware vCenter
V mojom prípade som sa rozhodol zakázať požiadavku na zmenu hesla pre miestneho používateľa [email protected] (keďže nikto nepracuje neustále pod týmto používateľom a správcovia sú oprávnení na základe účtov svojej domény AD).
Pre lokálnych používateľov vCenter sa predvolene uplatňuje politika SSO, ktorá vyžaduje zmenu hesla používateľa každých 90 dní.
Nastavenia politiky hesiel SSO sa nachádzajú v časti vSphere Client: podávanie -> Jedno prihlásenie -> konfigurácia.
Ako vidíte na karte Zásady hesla, na heslo všetkých miestnych používateľov vCSA sa vzťahujú tieto požiadavky:
- Minimálna dĺžka je 8 znakov (maximum je 20);
- Heslo je platné 90 dní;
- Je zakázané používať posledných 5 hesiel;
- Existujú obmedzenia týkajúce sa zložitosti hesla.
Stlačte tlačidlo editovať a zmeniť nastavenia politiky. Napríklad môžete zmeniť hodnotu Maximálna životnosť na 365 (to znamená, že heslá je potrebné meniť raz za rok) alebo tu špecifikovať 0 (čo znamená, že platnosť hesla neskončila).
Individuálna politika hesiel pre lokálnych používateľov VMWare vCSA
Ak nechcete zmeniť politiku hesiel pre všetkých používateľov, môžete zmeniť nastavenia vypršania platnosti hesla pre konkrétneho používateľa. Napríklad chcete, aby heslo lokálneho používateľa backup_user nikdy nevypršalo (aby bolo neobmedzené). Ak to chcete urobiť, musíte sa pripojiť k hostiteľovi vCSA pomocou klienta SSH.
Povoliť prístup SSH k vCSA prostredníctvom správy zariadení (https: // your_vcenter: 5480 / ui / access) v sekcii prístup -> Ssh prihlásenie -> povolené.
Potrebujeme pomôcku dir-cli, ktorý je v adresári / usr / lib / vmware-vmafd / bin /.
cd / usr / lib / vmware-vmafd / bin /
Skontrolujte, či existuje takýto používateľ:
./ dir-cli user find-by-name --account backup_user
Zadajte heslo pre [email protected]:
Účet: backup_user
UPN: [email protected]
Heslo tohto používateľa môžete zmeniť:
./ dir-cli reset hesla --account backup_user --password OldP @ ssw0rd - nový NewP @ ssw0rd
Alebo uveďte, že heslo používateľa by nikdy nemalo uplynúť:
./ dir-cli užívateľ modifikuje --account backup_user --password-never-expiresZadajte heslo pre [email protected]:
Heslo nastavené pre [backup_user] nikdy nevyprší
Čas vypršania platnosti hesla pre root v vSA
Keď nainštalujete zariadenie vCenter Server Appliance, užívateľ root bude tiež nastavený na čas vypršania platnosti hesla 365 dní (vo vCenter) <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.
Nastavenia politiky hesiel pre root môžete skontrolovať v aplikácii vCSA Appliance Management (https: // your_vcenter: 5480 / ui / access). Prejdite do sekcie podávanie a skontrolujte hodnotu parametrov v časti Nastavenia vypršania platnosti hesla.
- Platnosť hesla vyprší: Áno
- Platnosť hesla (dni): 90
- Platnosť hesla vyprší: 13. júna 2019, 5:00:00
Môžete rozšíriť root heslo alebo nastaviť, že root heslo nikdy nevyprší (hodnota 0).
Podobne môžete skontrolovať expiráciu rootovského hesla z konzoly servera:
chage -l root
Posledná zmena hesla: 15. marca 2019
Platnosť hesla vyprší: 13. júna 2019
Heslo neaktívne: nikdy
Platnosť účtu vyprší: nikdy
Minimálny počet dní medzi zmenou hesla: 0
Maximálny počet dní medzi zmenou hesla: 90
Počet dní varovania pred uplynutím platnosti hesla: 7
Je zaujímavé, že v rozhraní správy zariadení vCSA nie je užívateľ root vyzvaný na zmenu hesla a neexistuje žiadne varovanie pred uplynutím platnosti.
Pri vykonávaní operácií aktualizácie vCenter Server Appliance sa však môže vyskytnúť chyba, napríklad:
Platnosť koreňového hesla zariadenia (OS) vyprší alebo čoskoro vyprší. Pred inštaláciou aktualizácie zmeňte heslo root.
Alebo keď sa pokúsite zmeniť root heslo pomocou vCSA Appliance Management s vypršaným heslom, môže sa zobraziť varovanie:
Povolenie bolo zamietnuté. Nastavte maximálny počet dní, kedy platnosť hesla vyprší. Konfigurácia správcu bola úspešne aktualizovaná.
V takom prípade musíte zmeniť bežné heslo z konzoly vCSA obvyklým príkazom:
passwd
Oznámenie o uplynutí platnosti hesla v vCenter
V predvolenom nastavení sa oznámenie klienta vCenter o uplynutí platnosti hesla používateľa začne zobrazovať 30 dní pred uplynutím jeho platnosti.
V prípade, že sa používatelia prihlásia do vCenter pod svojimi účtami AD, pre heslá používateľov sa použijú zásady hesla domény. A pre užívateľa, upozornenie začne meniť heslo 30 dní pred jeho uplynutím. tj ak v doméne používate politiku zmeny hesla pre používateľov každých 30 dní pre používateľov, používatelia v rozhraní vCenter majú neustále nepríjemné pripomenutie Platnosť vášho hesla vyprší.
Vo vCSA môžete nakonfigurovať, koľko dní pred uplynutím platnosti hesla dostane toto upozornenie používateľ.
Ak používate klienta HTML5 vSphere, toto nastavenie je špecifikované v konfiguračnom súbore na serveri vCenter Server Appliance v /etc / vmware / vsphere-ui / webclient.properties.
Otvorte súbor a nájdite parameter sso.pending.password.expiration.notification.days.
Zmeňte jeho hodnotu na 7 (to znamená, že po uplynutí 7 dní sa zobrazí upozornenie na uplynutie platnosti hesla) a reštartujte klienta vSphere:
riadenie služieb - zastavte vsphere-ui
service-control --start vsphere-ui
Ak používate starého webového klienta (Flex), musíte zmeniť hodnotu parametra sso.pending.password.expiration.notification.days v súbore /etc/vmware/vsphere-client/webclient.properties.
Po úprave nastavení musíte tiež reštartovať službu webového klienta:
service-control - zastavte klienta vsphere
service-control --start vsphere-client
