Періодично в інтерфейсі vSphere Client я зустрічаюся з повідомленням про необхідність кошторису пароль: Your password will expire in xx days. Захотів для себе розібратися, як управляти політиками паролів в VMWare vSphere, чи можна змінити термін появи повідомлення про закінчення терміну дії пароля для локальних і доменних користувачів клієнта vSphere і чи можна налаштувати, щоб паролі певних користувачі були безстроковими (ніколи не спливали). Ось що вдалося накопати:

VMWAre попередження Ваш пароль втратить силу через xx днів

Політика паролів SSO в VMware vCenter

У моєму випадку, я вирішив відключити вимога зміни пароля для локального користувача administrator@vcenter.local (Тому що під цим користувачем ніхто постійно не працює, а адміністратори авторизуються під обліковими записами їх домену AD).

Для локальних користувачів vCenter за замовчуванням діє SSO політика, яка вимагає зміну пароля користувача кожні 90 днів.

Налаштування пральний політики SSO знаходяться в розділі vSphere Client: Адміністрація -> Єдиний знак -> Конфігурація.

Як ви бачите на вкладці Password Policy, до паролю всіх локальних користувачів vCSA застосовуються такі вимоги:

  • Мінімальна довжина – 8 символів (максимальна – 20);
  • Термін дії пароля – 90 днів;
  • Заборонено використовувати останні 5 паролів;
  • Є обмеження на складність пароля.

Натисніть кнопку Редагувати і змініть параметри політики. Наприклад, ви можете змінити значення Максимальний термін служби до 365 (Це означає, що паролі потрібно міняти раз на рік), або вказати тут 0 (Значить термін дії пароля не обмежений).

vmware SSO політики паролів

Індивідуальна парольний політика для локальних користувачів VMWare vCSA

Якщо ви не хочете змінювати парольний політику для всіх користувачів, ви можете змінити налаштування терміну дії пароля для конкретного користувача. Наприклад, ви хочете, щоб пароль локального користувача backup_user ніколи не закінчувався (зробити його безстроковим). Для цього вам потрібно підключиться до хосту vCSA за допомогою SSH клієнта.

Увімкніть SSH доступ до vCSA через Appliance Management (https: // your_vcenter: 5480 / ui / access) в розділі Доступ -> Логін SSH -> Увімкнено.

включити ssh в vcenter server appliance

Нам знадобиться утиліта реж-клі, Яка знаходиться в каталозі /usr/lib/vmware-vmafd/bin/.

cd /usr/lib/vmware-vmafd/bin/

Перевіримо що є такий користувач:

./dir-cli user find-by-name --account backup_user

Enter password for administrator@vcenter.local:
Account: backup_user
UPN: backup_user@VCENTER.LOCAL

dir-cli користувач змінює --account backup_user --password-never-expires

Ви можете змінити пароль цього користувача:

./dir-cli password reset --account backup_user --password OldP@ssw0rd --new NewP@ssw0rd

Або вказати, що пароль користувача не повинен закінчуватися ніколи:

./dir-cli user modify --account backup_user --password-never-expires
Enter password for administrator@vsphere.local:
Password set to never expire for [backup_user]

Термін дії пароля для root в vCSA

При установці vCenter Server Appliance для користувача root також встановлюється термін дії пароля – 365 днів (в vCenter <= 6.5) або 90 днів (в vSphere 6.7). Тобто на користувача root також діють політики закінчення терміну пароля.

Налаштування пральний політики для root можна перевірити в vCSA Appliance Management (https: // your_vcenter: 5480 / ui / access). Перейдіть в розділ Адміністрація і перевірте значення параметрів в розділі Password expiration settings.

  • Термін дії пароля закінчується: так
  • Термін дії пароля (днів): 90
  • Термін дії пароля закінчується: 13 червня 2019 р., 5:00:00

vmware пристрій - налаштування терміну дії пароля

Ви можете збільшити термін дії пароля root, або встановити, що пароль root ніколи не закінчується (значення 0).

Аналогічно ви можете перевірити термін дії пароля root з консолі сервера:

chage -l root

політика паролів root в vmware vcenter appliance

Last password change : Mar 15, 2019
Password expires : Jun 13, 2019
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 90
Number of days of warning before password expires : 7

Що цікаво в інтерфейсі vCSA Appliance Management у користувача root не вимагається зміна пароля і немає попередження про закінчення терміну його дії.

Однак при виконанні операцій оновлення vCenter Server Appliance ви можете зіткнутися з помилкою виду:

Appliance (OS) root password is expired or is going to expire soon. Please change the root password before installing an update.

Або при спробі змінити пароль root через vCSA Appliance Management при минулому паролі може з’явиться попередження:

Permission Denied. Set the maximum number of days when the password will expire. Administrator configuration updated succesfully.

В цьому випадку вам потрібно змінити пароль root з консолі vCSA звичайної командою:

passwd

passwd змінити пароль root в vmware vCSA

Повідомлення про закінчення терміну пароля в vCenter

За замовчуванням в клієнті vCenter повідомлення про закінчення терміну дії пароля користувача починає відображатися за 30 днів до його закінчення.

У тому випадку, якщо користувачі авторизуються в vCenter під своїми обліковими записами AD, для паролів користувачів застосовуються доменні парольні політики. І для користувача починає з’являтися повідомлення про зміну пароля за 30 днів до його закінчення. Тобто якщо в домені ви для користувачів використовуєте політику зміни пароля кожні 30 днів, то у користувачів в інтерфейсі vCenter постійно висить подразнюючу нагадування Ваш пароль закінчиться.

У vCSA ви можете налаштувати за скільки днів до закінчення терміну дії пароля у користувача буде відображатися дане повідомлення.

Якщо ви використовуєте HTML5 клієнт vSphere, ця настройка вказується в конфігураційному файлі на сервері vCenter Server Appliance в файлі /etc / vmware / vsphere-ui / webclient.properties.

Відкрийте файл і знайдіть параметр sso.pending.password.expiration.notification.days.

sso.pending.password.expiration.notification.days

Змініть його значення на 7 (це означає, що повідомлення про закінчення терміну пароля буде відображатися за 7 днів), а потім перезапустіть клієнт vSphere:

service-control --stop vsphere-ui
service-control --start vsphere-ui

Якщо ви використовуєте старий Web Client (Flex) вам потрібно змінити значення параметра sso.pending.password.expiration.notification.days у файлі /etc/vmware/vsphere-client/webclient.properties.

Після редагування налаштувань також потрібно перезапустити службу веб-клієнта:

service-control --stop vsphere-client
service-control --start vsphere-client

Leave a Reply

Your email address will not be published. Required fields are marked *