VMware Global Community
vhanako
Enthusiast
Enthusiast

vRealize Operation Managerのパスワードポリシーについて

vRealize Operation Managerのパスワードポリシーについて

製品インタフェース > アクセスコントロール > パスワードポリシー
のパスワードの変更に、期限切れになる5日前にユーザーに警告します。

とあるのですが、ユーザーへの警告方法は

製品インタフェースまたは管理インタフェースにadminでログインしたときに
各インタフェースの最初の画面上に、もうすぐ期限切れになるというメッセージが表示されるのでしょうか。

 

Labels (2)
Reply
0 Kudos
7 Replies
kawaman
Leadership
Leadership

パスワード期限が切れる時期が近付いているアカウントでログインすると以下の様なメッセージが表示されます。

kawaman_0-1635295320771.png

admin アカウントでログインした時に、その他のアカウントの期限メッセージが表示されるわけではなく、
対象のユーザーアカウントでログインした際にその画面にメッセージが表示されます。

※ admin アカウントに関しては対象外となっている様です。

Reply
0 Kudos
vhanako
Enthusiast
Enthusiast

ありがとうございます。

※ admin アカウントに関しては対象外となっている様です。
上記は、OSが管理しているアカウント(rootやadmin)は、対象外ということですね。

また、製品インターフェースで追加したアカウントが対象になるということですね。

パスワードポリシーに、パスワードの有効期限切れがデフォルトで90日に設定されています。
この90日に影響がでるのは、OSが管理しているアカウント(rootやadmin)には機能しないと考えてよいですか。

ここの有効期限切れになるアカウントは、製品インターフェースで追加したアカウントが対象になるということでしょうか。

OSが管理しているアカウント(rootやadmin)は、chage -l admin で表示される赤字部分に依存すると考えてよいでしょうか。


# chage -l admin
Last password change : Oct 13, 2021
Password expires : Dec 12, 2021
Password inactive : Dec 12, 2021
Account expires : never
Minimum number of days between password change : 1
Maximum number of days between password change : 60
Number of days of warning before password expires : 0

 

Reply
0 Kudos
kawaman
Leadership
Leadership

期限切れの挙動そのものは試していないので正しい回答はできませんが、
恐らく WebUI 側とコンソール側は以前の以下のスレに記したように起源は別管理となっているので、
管理画面からの 90日 設定は追加作成したアカウントにのみ影響があるものと思われます。

WebUI の管理画面で期限を短く設定した際に、 admin アカウントの前回パスワード変更した期間より短く設定しても
警告も出ず、ログインもできるので WebUI では admin アカウントは無期限の扱いなのかもしれません。

 

Reply
0 Kudos
vhanako
Enthusiast
Enthusiast

ありがとうございます

確約は無いですが整理すると以下のようになると理解しました。

①コンソールでのadminユーザのログインは、"chage -l admin"で表示される有効期間を過ぎるとログインできなくなる

②Web(製品および管理)でのadminユーザのログインは、製品インタフェースのパスワードポリシーの有効期間には依存しない
 ※製品インタフェースで追加したユーザに対して有効期間が機能する

上記②で、OS側のadminの有効期間を超えた場合に、Webでのadminの制限(ログインできなくなる)がかかると思ってよいですか。

そのために、以前問い合わせたパスワードリセットが必要になると認識しています。

 

Reply
0 Kudos
kawaman
Leadership
Leadership

> 上記②で、OS側のadminの有効期間を超えた場合に、Webでのadminの制限(ログインできなくなる)がかかると思ってよいですか。

いや、これがまた挙動が特殊で、以前のスレに書いたように WebUI とコンソールの admin はそれぞれ別のパスワード期限管理になっている様で、

  • コンソールの admin のパスワード有効期限が切れても、WebUI の admin はログイン可能
  • コンソールのパスワード期限が切れても、WebUI で admin パスワードの更新をするとコンソール側の admin パスワードも更新されコンソール側でも再度ログインが可能になる
  • WebUI のアカウントはパスワード期限の除外かも(?)

となる様です。

一応、手元の環境の WebUI でパスワード期限を3日に設定して様子見しているので週明けに改めて書き込みます。

Reply
0 Kudos
kawaman
Leadership
Leadership

コンソール側のパスワード期限が切れた後の WebUI 側の admin アカウントのログインですが、
WebUI 側は問題なくログインできる事か確認できました。

また、WebUI 側でパスワードを更新したらコンソール側にも更新が反映され、再びログイン可能になります。

kawaman_0-1635992396395.png

 

Reply
0 Kudos
vhanako
Enthusiast
Enthusiast

ありがとうございます。

実験の結果を整理すると、以下のようになるとのことですね。

コンソールOSでadminのパスワード有効期間を過ぎると
①コンソールOSへのログインは不可
②WebUIへのログインは可能

上記の状態で、WebUI(管理)でadminのパスワードを変更すると
①コンソールOSへのログインは可能(復旧)
②WebUIへのログインは可能
ということですね。

また、WebUIでのadminのパスワードの有効期限はない

ですね。

 

Reply
0 Kudos