Đôi khi trong giao diện vSphere Client, tôi bắt gặp thông báo:Your password will expire in xx days . Tôi quyết định tìm hiểu cách quản lý chính sách mật khẩu trong VMWare vSphere, cách thay đổi thời gian khi thông báo hết hạn mật khẩu xuất hiện cho người dùng vSphere cục bộ và miền cũng như đặt cài đặt mật khẩu cho một số người dùng để không bao giờ hết hạn. Đây là những gì tôi đã tìm thấy.
Chính sách khóa và mật khẩu trên VMWare Đăng nhập một lần (SSO)
Trong trường hợp của tôi, tôi đã quyết định vô hiệu hóa việc hết hạn mật khẩu cho người dùng cục bộ administrator@vcenter.local (vì không ai hoạt động vĩnh viễn với tài khoản cục bộ này và quản trị viên vSphere xác thực trong tài khoản miền Active Directory của họ).
Theo mặc định, chính sách SSO được áp dụng cho người dùng cục bộ vSphere, chính sách này yêu cầu thay đổi mật khẩu người dùng sau 90 ngày.
Bạn có thể tìm thấy cài đặt chính sách mật khẩu SSO trong phần sau của ứng dụng khách vSphere: Quản trị -> Đăng nhập một lần -> Cấu hình .
Như bạn có thể thấy trên tab Chính sách mật khẩu, các yêu cầu sau được áp dụng cho mật khẩu của tất cả người dùng vCSA cục bộ:
- Độ dài mật khẩu tối thiểu là 8 ký tự (tối đa - 20 ký tự);
- Mật khẩu sẽ hết hạn sau 90 ngày (thời gian tồn tại tối đa);
- 5 mật khẩu cuối cùng không được phép sử dụng lại;
- Một số hạn chế về độ phức tạp của mật khẩu.
Nhấp vào Chỉnh sửa và thay đổi cài đặt chính sách. Ví dụ:bạn có thể thay đổi Thời gian tồn tại tối đa tới 365 (có nghĩa là bạn phải thay đổi mật khẩu mỗi năm một lần) hoặc nhập 0 tại đây (nghĩa là mật khẩu chưa hết hạn).
Thay đổi cài đặt hết hạn mật khẩu thành không bao giờ hết hạn cho người dùng vCSA VMWare cục bộ
Nếu bạn không muốn thay đổi chính sách mật khẩu của mình cho tất cả người dùng vCenter, bạn có thể thay đổi chính sách mật khẩu và cài đặt hết hạn cho người dùng cụ thể. Ví dụ:bạn muốn đặt mật khẩu cho backup_user cục bộ để không bao giờ hết hạn. Để làm điều đó, hãy kết nối với máy chủ vCSA của bạn bằng ứng dụng SSH.
Bật quyền truy cập SSH vào vCSA trong Quyền truy cập -> Đăng nhập SSH -> Đã bật phần Quản lý công cụ (https://your_vcenter_name:5480/ui/access ).
Bạn sẽ cần dir-cli công cụ này nằm trong / usr / lib / vmware-vmafd / bin / .
cd /usr/lib/vmware-vmafd/bin/
Kiểm tra xem người dùng cục bộ có tồn tại không:
./dir-cli user find-by-name --account backup_user
Nhập mật khẩu cho administrator@vcenter.local:Tài khoản:backup_userUPN:backup_user@VCENTER.LOCAL/
Bạn có thể thay đổi mật khẩu cho người dùng này:
./dir-cli password reset --account backup_user --password OldBackupP@$$ --new NewBackupP@$$
Hoặc bạn có thể đặt mật khẩu để không bao giờ hết hạn:
./dir-cli user modify --account backup_user --password-never-expires
Nhập mật khẩu cho administrator@vsphere.local:Mật khẩu được đặt để không bao giờ hết hạn cho [backup_user]
Hết hạn mật khẩu gốc trên vCenter VCSA
Khi bạn cài đặt Công cụ máy chủ vCenter, thời gian tồn tại của mật khẩu cho root người dùng được đặt thành 365 ngày (vCenter 6.5 trở lên) hoặc 90 ngày (vSphere 6.7). Vì vậy, root cũng phải tuân theo chính sách hết hạn mật khẩu.
Bạn có thể xem cài đặt chính sách mật khẩu trong Quản lý công cụ vCSA (https://your_vcenter_name:5480/ui/access ). Đi tới Quản trị và kiểm tra các giá trị trong “Cài đặt hết hạn mật khẩu ”.
- Mật khẩu hết hạn:Có
- Hiệu lực của mật khẩu (ngày):90
- Mật khẩu hết hạn vào:2:00:00 sáng ngày 13 tháng 6 năm 2020
Bạn có thể thay đổi cài đặt hết hạn mật khẩu cho root hoặc đặt nó thành không bao giờ hết hạn (nếu giá trị của nó là 0).
Ngoài ra, bạn có thể kiểm tra cài đặt hết hạn mật khẩu gốc từ bảng điều khiển vCSA của mình:
chage -l root
Lần thay đổi mật khẩu cuối cùng:ngày 15 tháng 3 năm 2019 Mật khẩu hết hạn:20 tháng 6 năm 2019 Mật khẩu không hoạt động:không bao giờ Tài khoản hết hạn:không bao giờ Số ngày tối thiểu giữa các lần thay đổi mật khẩu:0 Số ngày tối đa giữa các lần thay đổi mật khẩu:90 Số ngày cảnh báo trước khi mật khẩu hết hạn:7Điều thú vị là giao diện vCSA Appliance Management không nhắc root thay đổi mật khẩu hoặc hiển thị bất kỳ cảnh báo hết hạn mật khẩu nào.
Tuy nhiên, nếu bạn cố gắng nâng cấp Công cụ máy chủ vCenter, bạn có thể gặp thông báo lỗi sau:
Mật khẩu gốc củaAppliance (OS) đã hết hạn hoặc sắp hết hạn. Vui lòng thay đổi mật khẩu gốc trước khi cài đặt bản cập nhật.Hoặc khi cố gắng thay đổi mật khẩu gốc đã hết hạn trong Quản lý công cụ vCSA, một cảnh báo có thể xuất hiện:
QuyềnBị từ chối. Đặt số ngày tối đa khi mật khẩu sẽ hết hạn. Đã cập nhật thành công cấu hình quản trị viên.Trong trường hợp này, bạn phải thay đổi mật khẩu gốc trong bảng điều khiển vCSA bằng lệnh sau:
passwd
Thay đổi Cài đặt Thông báo Hết hạn Mật khẩu trên VMWare vCenter
Theo mặc định, thông báo mật khẩu hết hạn trong Ứng dụng khách vCenter bắt đầu xuất hiện 30 ngày trước khi hết hạn.
Nếu người dùng xác thực trong vCenter bằng tài khoản AD của họ, chính sách mật khẩu miền sẽ được áp dụng cho mật khẩu người dùng. Người dùng sẽ thấy thông báo nhắc họ thay đổi mật khẩu 30 ngày trước khi mật khẩu hết hạn. Vì vậy, nếu chính sách miền của bạn thực thi thay đổi mật khẩu một lần trong 30 ngày, người dùng VMWare vCenter liên tục thấy cảnh báo khó chịu
Your password will expire.Trong vCSA, bạn có thể định cấu hình bao nhiêu ngày trước khi mật khẩu hết hạn, người dùng sẽ thấy thông báo này.
Nếu bạn đang sử dụng ứng dụng khách vSphere HTML5, cài đặt này được chỉ định trong tệp cấu hình trên máy chủ vCenter Server Appliance:
/etc/vmware/vsphere-ui/webclient.properties.Mở tệp và tìm thông số sso.pend.password.expiration.notification.days .
Thay đổi giá trị của nó thành 7. Có nghĩa là thông báo hết hạn mật khẩu sẽ xuất hiện 7 ngày trước khi nó xảy ra. Sau đó, khởi động lại ứng dụng vSphere của bạn:
service-control --stop vsphere-ui
service-control --start vsphere-uiNếu bạn đang sử dụng Ứng dụng khách web cũ (Linh hoạt), bạn sẽ phải thay đổi giá trị của sso.pend.password.expiration.notification.days trong
/etc/vmware/vsphere-client/webclient.propertiestệp.Sau khi bạn đã chỉnh sửa cài đặt, hãy khởi động lại dịch vụ Web Client:
service-control --stop vsphere-client
service-control --start vsphere-client