VMWare vSphere Upravljanje uporabniškega gesla

Občasno v vSphere Client vmesniku naletim na obvestilo o potrebi po ponastavitvi gesla: Vaše geslo poteče v xx dneh. Sama sem želela ugotoviti, kako upravljati pravilnike o geslih v VMWare vSphere, ali je mogoče spremeniti obvestilo o poteku gesla za lokalne in domenske uporabnike odjemalca vSphere in ali je možno, da gesla za določene uporabnike neomejeno (nikoli ne potečejo). Tukaj smo uspeli izkopati:

Vsebina:

  • Pravilnik o geslu za SSO v VMware vCenter
  • Posamezna politika gesla za lokalne uporabnike VMWare vCSA
  • Čas poteka gesla za root v vCSA
  • Obvestilo o poteku gesla vCenter

Pravilnik o geslu za SSO v VMware vCenter

V mojem primeru sem se odločil, da bom lokalnemu uporabniku onemogočil zahtevo za spremembo gesla [email protected] (ker pod tem uporabnikom nihče ne deluje stalno in so skrbniki pooblaščeni po računih svoje domene AD).

Za lokalne uporabnike vCenter se privzeto uporablja pravilnik SSO, ki zahteva spremembo uporabniškega gesla vsakih 90 dni.

Nastavitve pravilnika za geslo SSO se nahajajo v razdelku odjemalca vSphere: Uprava -> Enotna prijava -> Konfiguracija.

Kot lahko vidite na zavihku Politika gesla, za geslo vseh lokalnih uporabnikov vCSA veljajo naslednje zahteve:

  • Najmanjša dolžina je 8 znakov (največ 20);
  • Geslo velja 90 dni;
  • Prepovedana je uporaba zadnjih 5 gesel;
  • Obstajajo omejitve glede zapletenosti gesla.

Pritisnite gumb Uredi in spremenite nastavitve pravilnika. Na primer, lahko spremenite vrednost Najdaljša življenjska doba prej 365 (to pomeni, da je treba gesla spreminjati enkrat letno) ali jih tukaj določite 0 (kar pomeni, da geslo ni poteklo).

Posamezna politika gesla za lokalne uporabnike VMWare vCSA

Če ne želite spremeniti pravilnika o geslu za vse uporabnike, lahko spremenite nastavitve prenehanja gesla za določenega uporabnika. Na primer, želite, da geslo lokalnega uporabnika backup_user nikoli ne poteče (neomejeno). Če želite to narediti, se morate povezati z gostiteljem vCSA z odjemalcem SSH.

Omogočite SSH dostop do vCSA s pomočjo Appliance Management (https: // your_vcenter: 5480 / ui / access) v razdelku Dostop -> Ssh prijava -> Omogočeno.

Potrebujemo pripomoček dir-cli, ki je v imeniku / usr / lib / vmware-vmafd / bin /.

cd / usr / lib / vmware-vmafd / bin /

Preverite, ali obstaja tak uporabnik:

./ dir-cli user-find-by-name --account backup_user

Vnesite geslo za [email protected]:
Račun: backup_user
UPN: [email protected]

Lahko spremenite geslo za tega uporabnika:

./ dir-cli ponastaviti geslo --račun backup_user --password OldP @ ssw0rd - nov New @ @ ssw0rd

Ali pa označite, da uporabniško geslo ne sme nikoli poteči:

./ dir-cli uporabnik spremeniti --account backup_user --password-nikoli ne poteče
Vnesite geslo za [email protected]:
Geslo nastavljeno, da nikoli ne poteče za [backup_user]

Čas poteka gesla za root v vCSA

Ko namestite vCenter Server Appliance, je korenski uporabnik nastavljen tudi na čas poteka gesla 365 dni (v vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.

Nastavitve pravilnika o geslu za root lahko preverite v upravljanju naprave vCSA (https: // your_vcenter: 5480 / ui / access). Pojdite na razdelek Uprava in preverite vrednost parametrov v razdelku z nastavitvami gesla.

  • Geslo poteče: Da
  • Veljavnost gesla (dni): 90
  • Geslo poteče: 13. junija 2019, 5:00:00

Lahko razširite korensko geslo ali nastavite, da korensko geslo nikoli ne poteče (vrednost 0).

Podobno lahko preverite potek korenskega gesla s konzole strežnika:

chage -l koren

Zadnja sprememba gesla: 15. marec 2019
Geslo poteče: 13. junija 2019
Geslo neaktivno: nikoli
Račun poteče: nikoli
Najmanjše število dni med spremembo gesla: 0
Najdaljše število dni med spremembo gesla: 90
Število dni opozorila pred iztekom gesla: 7

Zanimivo je, da v vCSA Appliance Management vmesnik korenskega uporabnika ne zahteva spremembe gesla in ni opozorilo o njegovem poteku.

Vendar pa med izvajanjem operacij nadgradnje vCenter Server Appliance lahko naletite na napako kot:

Korensko geslo za aplikacijo (OS) je poteklo ali kmalu poteče. Pred namestitvijo posodobitve spremenite korensko geslo.

Če pa poskusite spremeniti korensko geslo prek vCSA Appliance Management s potečenim geslom, se lahko prikaže opozorilo:

Dovoljenje zavrnjeno. Nastavite največje število dni, ko se geslo izteče. Konfiguracija skrbnika je uspešno posodobljena.

V tem primeru morate spremeniti korensko geslo s konzole vCSA z običajnim ukazom:

passwd

Obvestilo o poteku gesla vCenter

Privzeto se začne vCenter odjemalca o poteku uporabniškega gesla prikazovati 30 dni, preden se izteče.

V primeru, da se uporabniki vpišejo vCenter pod svojimi AD računi, se za gesla uporabnikov uporabijo pravila o geslih. In za uporabnika začne obvestilo spreminjati geslo 30 dni pred iztekom. I.e. če v domeni uporabljate pravilnik o spremembi gesla za uporabnike vsakih 30 dni za uporabnike, potem imajo uporabniki v vCenter vmesnik nenehno moteč opomnik Vaše geslo poteče.

VCSA lahko konfigurirate, koliko dni pred iztekom gesla bo uporabnik prejel to obvestilo.

Če uporabljate odjemalca HTML5 vSphere, je ta nastavitev določena v konfiguracijski datoteki na strežniku vCenter Server Appliance v /itd / vmware / vsphere-ui / webclient.properties.

Odprite datoteko in poiščite parameter sso.pending.password.expiration.notification.days.

Spremenite njegovo vrednost v 7 (to pomeni, da bo 7 dni prikazano obvestilo o poteku gesla) in znova zaženite odjemalca vSphere:

servis-nadzor - stop vsphere-ui
servis-nadzor - začnite vsphere-ui

Če uporabljate stari spletni odjemalec (Flex), morate spremeniti vrednost parametra sso.pending.password.expiration.notification.days v datoteko /etc/vmware/vsphere-client/webclient.properties.

Po urejanju nastavitev morate znova zagnati tudi storitev spletnega odjemalca:

nadzor nad storitvijo - ustavite vsphere-odjemalca
storitev-nadzor - zaženite vsphere-odjemalec