いつも大変お世話になっております。
新規にLogInsight 8.2を導入予定の環境がございます。
デフォルトで構成される"root"およびwebアクセス用の"admin"アカウントのパスワード有効期限を無期限としたいのですが
どのように設定を反映すればよろしいでしょうか?(パスワードは初期構成時に空ではなく、特定の文字列を設定している前提です)
以下VMware Docsを参照しますと、STIG構成等をしていない場合には
root(adminも?)アカウントは期限切れになるようなことが内容にも読み取れます。
ユーザー アカウントのロック解除
https://docs.vmware.com/jp/vRealize-Log-Insight/8.2/com.vmware.log-insight.administration.doc/GUID-D...
vRealize Log Insight の STIG コンプライアンスの設定
https://docs.vmware.com/jp/vRealize-Log-Insight/8.2/com.vmware.log-insight.administration.doc/GUID-E...
何卒よろしくお願い致します。
手元の環境がちょうど Log Insight 8.2 だったので確認してみましたが、
パスワードポリシーの制限を有効にした場合も、デフォルトの無効のままの場合でも、
スーパー管理者ユーザー(admin / root) のパスワードポリシーは
admin : 無期限
root : 有効期限は 365日
の様です。
root アカウントは初期導入時は admin アカウントとパスワードが同期されていますが、
admin アカウントのパスワードを Web UI で変更しても、root アカウントのパスワードは変更されていないので
有効期限内に SSH でコンソールにアクセスし passwd コマンドで変更するのが良さそうです。
以下は chage コマンドで見た root カウントの初期設定値です。
root@loginsight [ ~ ]# chage -l root
Last password change : Dec 11, 2020
Password expires : Dec 11, 2021
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 365
Number of days of warning before password expires : 7
ちなみに root アカウントは3回ログインに失敗すると5分間ロックされます。
kawamanさん
早速のご確認ありがとうございます。
パスワードポリシーの制限を有効にした場合も、デフォルトの無効のままの場合でも、
rootのパスワードポリシーはデフォルト365日なのですね。
頂いた情報を元にもう少し確認したところ、
「Maximum number of days between password change」を変更するためのコマンドは2パターンありそうでした。
無期限設定とする場合にはいずれの方式でも問題ないでしょうか?(Hands-on Labで確認するといずれも設定は反映できました)
・Chageコマンドパターン
chage -l root #事前確認
chage -M 99999 root #有効期限を99999daysに変更
chage -l root #事後確認
・passwdコマンドパターン
more /etc/shadow #事前確認
passwd -x 99999 root #有効期限を99999daysに変更
more /etc/shadow #事後確認
※なお、MAX値上限がいくつなのかは判別できませんでした。
何卒よろしくお願い致します。
変更手順はどちらでも問題ないです。
どちらで変更しても chage -l root で設定の反映が確認できます。
システムによって違うかもしれませんが、99999 は無期限とする際のお作法的に入れていますね。
実際は 10000 で無期限になる事が多く、9999 だと 27年後の期限が設定されると思います。