V klientském rozhraní vSphere se pravidelně setkávám s upozorněním na nutnost resetování hesla: Vaše heslo vyprší za xx dny. Chtěl jsem si vymyslet, jak spravovat zásady hesel v produktu VMWare vSphere, zda je možné změnit období upozornění na vypršení platnosti hesla pro místní a doménové uživatele klienta vSphere a zda je možné nakonfigurovat hesla pro určité uživatele tak, aby byla neomezená (nikdy nevyprší). Zde se nám podařilo vykopat:
Obsah:
- Zásady hesla SSO v VMware vCenter
- Individuální politika hesel pro místní uživatele VMWare vCSA
- Čas vypršení platnosti hesla pro root v vCSA
- Oznámení o vypršení platnosti hesla v vCenter
Zásady hesla SSO v VMware vCenter
V mém případě jsem se rozhodl zakázat požadavek na změnu hesla pro lokálního uživatele [email protected] (protože pod tímto uživatelem nikdo nepracuje a správci jsou oprávněni pod účty své domény AD).
Pro lokální uživatele vCenter je ve výchozím nastavení použita politika SSO, která vyžaduje změnu hesla uživatele každých 90 dní.
Nastavení zásad hesla SSO se nachází v části vSphere Client: Administrace -> Jediné přihlášení -> Konfigurace.
Jak je vidět na kartě Zásady hesla, platí pro heslo všech místních uživatelů vCSA následující požadavky:
- Minimální délka je 8 znaků (maximum je 20);
- Heslo je platné 90 dní;
- Je zakázáno používat posledních 5 hesel;
- Existují omezení složitosti hesla.
Stiskněte tlačítko Upravit a změnit nastavení zásad. Můžete například změnit hodnotu Maximální životnost dříve 365 (to znamená, že hesla je třeba měnit jednou za rok), nebo zde specifikovat 0 (což znamená, že platnost hesla nevypršela).
Individuální politika hesel pro místní uživatele VMWare vCSA
Pokud nechcete změnit zásady hesla pro všechny uživatele, můžete změnit nastavení vypršení platnosti hesla pro konkrétního uživatele. Například chcete, aby heslo místního uživatele backup_user nikdy nevypršelo (aby bylo neomezené). Chcete-li to provést, musíte se připojit k hostiteli vCSA pomocí klienta SSH.
Povolte přístup SSH k vCSA prostřednictvím správy zařízení (https: // your_vcenter: 5480 / ui / access) v sekci Přístup -> Ssh přihlášení -> Povoleno.
Potřebujeme nástroj dir-cli, který je v adresáři / usr / lib / vmware-vmafd / bin /.
cd / usr / lib / vmware-vmafd / bin /
Zkontrolujte, zda existuje takový uživatel:
./ dir-cli user find-by-name --account backup_user
Zadejte heslo pro sprá[email protected]:
Účet: backup_user
UPN: [email protected]
Heslo tohoto uživatele můžete změnit:
./ dir-cli reset hesla --account backup_user --password OldP @ ssw0rd - nový NewP @ ssw0rd
Nebo uveďte, že by heslo uživatele nemělo nikdy vypršet:
./ dir-cli uživatelské úpravy --account backup_user --password-never-expiresZadejte heslo pro sprá[email protected]:
Heslo nastavené pro [backup_user] nikdy nevyprší
Čas vypršení platnosti hesla pro root v vCSA
Když nainstalujete zařízení vCenter Server Appliance, uživatel root bude také nastaven na dobu vypršení platnosti hesla 365 dní (v vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.
Nastavení zásad hesla pro root lze zkontrolovat v nástroji Správa zařízení vCSA (https: // your_vcenter: 5480 / ui / access). Přejděte do sekce Administrace a zkontrolujte hodnotu parametrů v části Nastavení vypršení platnosti hesla.
- Platnost hesla vyprší: Ano
- Platnost hesla (dny): 90
- Platnost hesla vyprší: 13. června 2019, 5:00:00 dop
Můžete rozšířit heslo root nebo nastavit, aby root heslo nikdy nevypršelo (hodnota 0).
Podobně můžete zkontrolovat vypršení platnosti kořenového hesla z konzoly serveru:
chage -l root
Poslední změna hesla: 15. března 2019
Platnost hesla vyprší: 13. června 2019
Heslo neaktivní: nikdy
Platnost účtu končí: nikdy
Minimální počet dní mezi změnou hesla: 0
Maximální počet dní mezi změnou hesla: 90
Počet dní varování před vypršením platnosti hesla: 7
Je zajímavé, že v rozhraní správy zařízení vCSA není uživatel root vyzván ke změně hesla a není zde žádné varování o jeho vypršení.
Při provádění operací upgradu zařízení vCenter Server Appliance se však může vyskytnout chyba, jako například:
Kořenové heslo zařízení (OS) vyprší nebo brzy vyprší. Před instalací aktualizace změňte heslo uživatele root.
Nebo při pokusu o změnu kořenového hesla pomocí vCSA Appliance Management s vypršením platnosti hesla se může zobrazit varování:
Povolení bylo odepřeno. Nastavte maximální počet dní, kdy heslo vyprší. Konfigurace správce byla úspěšně aktualizována.
V tomto případě musíte změnit obvyklé heslo z konzoly vCSA pomocí obvyklého příkazu:
passwd
Oznámení o vypršení platnosti hesla v vCenter
Ve výchozím nastavení se oznámení klienta o ukončení platnosti hesla uživatele začne zobrazovat 30 dní před vypršením jeho platnosti.
V případě, že se uživatelé přihlásí do vCenter pod svými účty AD, pro hesla uživatele se použijí zásady hesla domény. A pro uživatele se oznámení začíná měnit heslo 30 dní před vypršením jeho platnosti. I.e. pokud v doméně používáte zásady změny hesla pro uživatele každých 30 dní pro uživatele, pak uživatelé v rozhraní vCenter mají neustále nepříjemné připomenutí Platnost vašeho hesla vyprší.
Ve službě vCSA můžete nakonfigurovat, kolik dní před vypršením platnosti hesla toto upozornění obdrží uživatel.
Pokud používáte klienta HTML5 vSphere, je toto nastavení uvedeno v konfiguračním souboru na serveru vCenter Server Appliance v /etc / vmware / vsphere-ui / webclient.properties.
Otevřete soubor a najděte parametr sso.pending.password.expiration.notification.days.
Změňte jeho hodnotu na 7 (to znamená, že po dobu 7 dnů se zobrazí upozornění na vypršení platnosti hesla) a restartujte klienta vSphere:
kontrola služeb - zastavte vsphere-ui
service-control - spusťte vsphere-ui
Pokud používáte starý webový klient (Flex), musíte změnit hodnotu parametru sso.pending.password.expiration.notification.days v souboru /etc/vmware/vsphere-client/webclient.properties.
Po úpravě nastavení je také třeba restartovat službu webového klienta:
service-control --stop vsphere-client
service-control - spusťte vsphere-client
