Управління терміном дії паролів користувачів VMWare vSphere

Періодично в інтерфейсі vSphere Client я зустрічаюся з повідомленням про необхідність кошторису пароль: Your password will expire in xx days. Захотів для себе розібратися, як управляти політиками паролів в VMWare vSphere, чи можна змінити термін появи повідомлення про закінчення терміну дії пароля для локальних і доменних користувачів клієнта vSphere і чи можна налаштувати, щоб паролі певних користувачі були безстроковими (ніколи не спливали). Ось що вдалося накопати:

зміст:

  • Політика паролів SSO в VMware vCenter
  • Індивідуальна парольний політика для локальних користувачів VMWare vCSA
  • Термін дії пароля для root в vCSA
  • Повідомлення про закінчення терміну пароля в vCenter

Політика паролів SSO в VMware vCenter

У моєму випадку, я вирішив відключити вимога зміни пароля для локального користувача [email protected] (Тому що під цим користувачем ніхто постійно не працює, а адміністратори авторизуються під обліковими записами їх домену AD).

Для локальних користувачів vCenter за замовчуванням діє SSO політика, яка вимагає зміну пароля користувача кожні 90 днів.

Налаштування пральний політики SSO знаходяться в розділі vSphere Client: Administration -> Single Sign On -> Configuration.

Як ви бачите на вкладці Password Policy, до паролю всіх локальних користувачів vCSA застосовуються такі вимоги:

  • Мінімальна довжина - 8 символів (максимальна - 20);
  • Термін дії пароля - 90 днів;
  • Заборонено використовувати останні 5 паролів;
  • Є обмеження на складність пароля.

Натисніть кнопку Edit і змініть параметри політики. Наприклад, ви можете змінити значення Maximum lifetime до 365 (Це означає, що паролі потрібно міняти раз на рік), або вказати тут 0 (Значить термін дії пароля не обмежений).

Індивідуальна парольний політика для локальних користувачів VMWare vCSA

Якщо ви не хочете змінювати парольний політику для всіх користувачів, ви можете змінити налаштування терміну дії пароля для конкретного користувача. Наприклад, ви хочете, щоб пароль локального користувача backup_user ніколи не закінчувався (зробити його безстроковим). Для цього вам потрібно підключиться до хосту vCSA за допомогою SSH клієнта.

Увімкніть SSH доступ до vCSA через Appliance Management (https: // your_vcenter: 5480 / ui / access) в розділі Access -> SSH login -> Enabled.

Нам знадобиться утиліта dir-cli, яка знаходиться в каталозі / Usr / lib / vmware-vmafd / bin /.

cd / usr / lib / vmware-vmafd / bin /

Перевіримо що є такий користувач:

./ Dir-cli user find-by-name --account backup_user

Enter password for [email protected]:
Account: backup_user
UPN: [email protected]

Ви можете змінити пароль цього користувача:

./ Dir-cli password reset --account backup_user --password OldP @ ssw0rd --new NewP @ ssw0rd

Або вказати, що пароль користувача не повинен закінчуватися ніколи:

./ Dir-cli user modify --account backup_user --password-never-expires
Enter password for [email protected]:
Password set to never expire for [backup_user]

Термін дії пароля для root в vCSA

При установці vCenter Server Appliance для користувача root також встановлюється термін дії пароля - 365 днів (в vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.

Налаштування пральний політики для root можна перевірити в vCSA Appliance Management (https: // your_vcenter: 5480 / ui / access). Перейдіть в розділ Administration і перевірте значення параметрів в розділі Password expiration settings.

  • Password expires: Yes
  • Password validity (days): 90
  • Password expires on: Jun 13, 2019, 5:00:00 AM

Ви можете збільшити термін дії пароля root, або встановити, що пароль root ніколи не закінчується (значення 0).

Аналогічно ви можете перевірити термін дії пароля root з консолі сервера:

chage -l root

Last password change: Mar 15, 2019
Password expires: Jun 13, 2019
Password inactive: never
Account expires: never
Minimum number of days between password change: 0
Maximum number of days between password change: 90
Number of days of warning before password expires: 7

Що цікаво в інтерфейсі vCSA Appliance Management у користувача root не вимагається зміна пароля і немає попередження про закінчення терміну його дії.

Однак при виконанні операцій оновлення vCenter Server Appliance ви можете зіткнутися з помилкою виду:

Appliance (OS) root password is expired or is going to expire soon. Please change the root password before installing an update.

Або при спробі змінити пароль root через vCSA Appliance Management при минулому паролі може з'явиться попередження:

Permission Denied. Set the maximum number of days when the password will expire. Administrator configuration updated succesfully.

В цьому випадку вам потрібно змінити пароль root з консолі vCSA звичайної командою:

passwd

Повідомлення про закінчення терміну пароля в vCenter

За замовчуванням в клієнті vCenter повідомлення про закінчення терміну дії пароля користувача починає відображатися за 30 днів до його закінчення.

У тому випадку, якщо користувачі авторизуються в vCenter під своїми обліковими записами AD, для паролів користувачів застосовуються доменні парольні політики. І для користувача починає з'являтися повідомлення про зміну пароля за 30 днів до його закінчення. Тобто якщо в домені ви для користувачів використовуєте політику зміни пароля кожні 30 днів, то у користувачів в інтерфейсі vCenter постійно висить подразнюючу нагадування Your password will expire.

У vCSA ви можете налаштувати за скільки днів до закінчення терміну дії пароля у користувача буде відображатися дане повідомлення.

Якщо ви використовуєте HTML5 клієнт vSphere, ця настройка вказується в конфігураційному файлі на сервері vCenter Server Appliance в файлі /etc / vmware / vsphere-ui / webclient.properties.

Відкрийте файл і знайдіть параметр sso.pending.password.expiration.notification.days.

Змініть його значення на 7 (це означає, що повідомлення про закінчення терміну пароля буде відображатися за 7 днів), а потім перезапустіть клієнт vSphere:

service-control --stop vsphere-ui
service-control --start vsphere-ui

Якщо ви використовуєте старий Web Client (Flex) вам потрібно змінити значення параметра sso.pending.password.expiration.notification.days у файлі /etc/vmware/vsphere-client/webclient.properties.

Після редагування налаштувань також потрібно перезапустити службу веб-клієнта:

service-control --stop vsphere-client
service-control --start vsphere-client