※2015/04/20 1:32:28 の投稿です。
少し前のこのポストの続きですが・・・
vSphere 6.0 の 新機能について。(ESXi ローカルユーザ管理)
ESXi 5.5 までは、パスワードルールを変更する場合は、認証にかかわる(PAM の)設定ファイルを
ESXi に直接ログインしたうえで、vi 等のテキストエディタで編集する必要がありました。
※Enterprise Plus であれば Host Profile でも設定可能ですが・・・
ESX、ESXi 4.x および 5.x でのパスワードの要件と制限
http://kb.vmware.com/kb/2079822
この設定ファイル(/etc/pam.d/passwd)を直接編集していました。
~ # vmware -vl
VMware ESXi 5.5.0 build-2456374
VMware ESXi 5.5.0 Update 2
~ # cat /etc/pam.d/passwd
#%PAM-1.0
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6
password sufficient /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512
password required /lib/security/$ISA/pam_deny.so
ESXi 6.0 からは、パスワードルールが ESXi の詳細オプション
「Security.PasswordQualityControl」で管理されるようになりました。
そのため、vCenter から管理下の ESXi の設定をまとめて変更可能になります。
ESXi のパスワード、ESXi のパス フレーズ、およびアカウント ロックアウト
ESXi 6.0 の /etc/pam.d/passwd ファイルにも、
詳細オプションで設定変更するようにコメントがあります。
※ちなみに、ESXi 6.0 からパスワードルールのデフォルト値も変更されています。
[root@hv60n04:~] vmware -vl
VMware ESXi 6.0.0 build-2494585
VMware ESXi 6.0.0 GA
[root@hv60n04:~] cat /etc/pam.d/passwd
#%PAM-1.0
# Change only through host advanced option "Security.PasswordQualityControl".
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7
password sufficient /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512
password required /lib/security/$ISA/pam_deny.so
ちなみにパスワードルールは、ファイルを編集すると即時反映されます。
パスワードルールは、passwd コマンド実行時にも表示されるようになっていて
たとえば ESXi の root ユーザのパスワードを変更しようとすると下記のようになります。
※これは ESXi というより passwdqc の機能のため、以前の ESXi でも表示されます。
[root@hv60n04:~] passwd root
Changing password for root
You can now choose the new password.
A valid password should be a mix of upper and lower case letters,
digits, and other characters. You can use a 7 character long
password with characters from at least 3 of these 4 classes.
An upper case letter that begins the password and a digit that
ends it do not count towards the number of character classes used.
Alternatively, if noone else can see your terminal now, you can
pick this as your password: "gehyl=ebbg&wbo".
Enter new password:
パスワードルール設定変更(GUI にて)
Web Client から ESXi の詳細設定を見ると、
新たに「Security.PasswordQualityControl」が追加されていることがわかります。
この設定を変更すると、/etc/pam.d/passwd に即時反映されます。
ちなみに、vSphere Client でも変更可能です。
パスワードルール設定変更(PowerCLI にて)
まず、vCenter に接続します。
PowerCLI> Connect-VIServer vc60n02.godc.lab
PowerCLI> $global:DefaultVIServer | select Name,Version,Build | ft -AutoSize
Name Version Build
---- ------- -----
vc60n02.godc.lab 6.0 2559267
ESXi のバージョンは、6.0 GA です。
今回の ESXi のホスト名は hv60n04.godc.lab です。
PowerCLI> Get-VMHost hv60n04.godc.lab | select Name,Version,Build | sort Name | ft -AutoSize
Name Version Build
---- ------- -----
hv60n04.godc.lab 6.0.0 2494585
Get-AdvancedSetting で、Security.~ という名前のパラメータを見てみます。
Security.PasswordQualityControl のほかにも、
アカウント ロックアウト関連のパラメータがあります。
PowerCLI> Get-VMHost hv60n04.godc.lab | Get-AdvancedSetting Security.* | ft Name,Value -AutoSize
Name Value
---- -----
Security.PasswordQualityControl retry=3 min=disabled,disabled,disabled,7,7
Security.AccountLockFailures 10
Security.AccountUnlockTime 120
それでは、パスワードルールを変更してみます。
ESXi 5.x の頃のデフォルト値にしてみました。
ちなみに、Get-VMHost の後に ESXi を指定しなければ、
接続中の vCenter 管理下の ESXi すべてをまとめて設定変更することができます。
PowerCLI> Get-VMHost hv60n04.godc.lab | Get-AdvancedSetting Security.PasswordQualityControl | Set-AdvancedSetting -Value "retry=3 min=8,8,8,7,6" -Confirm:$false
Name Value Type Description
---- ----- ---- -----------
Security.Password... retry=3 min=8,8,8... VMHost
PowerCLI> Get-VMHost hv60n04.godc.lab | Get-AdvancedSetting Security.PasswordQualityControl | ft Name,Value -AutoSize
Name Value
---- -----
Security.PasswordQualityControl retry=3 min=8,8,8,7,6
PowerCLI での設定変更は、/etc/pam.d/passwd に即時反映されました。
[root@hv60n04:~] cat /etc/pam.d/passwd
#%PAM-1.0
# Change only through host advanced option "Security.PasswordQualityControl".
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6
password sufficient /lib/security/$ISA/pam_unix.so use_authtok nullok shadow sha512
password required /lib/security/$ISA/pam_deny.so
これまで、ESXi のローカルユーザのパスワードルールは
デフォルトでは無効である ESXi Shell や SSH を有効にしたうえで
ESXi に直接ログインしなくては変更できませんでした。
vCenter にログインするだけで変更できるようになったので
どうしてもパスワードの複雑性が必要な環境では、結構便利になったのではないかと思います。
以上、ESXi 6.0 のパスワードルール変更でした。
