Управление сроком действия паролей пользователей VMWare vSphere

Периодически в интерфейсе vSphere Client я встречаюсь с уведомлением о необходимости сметить пароль: Your password will expire in xx days . Захотел для себя разобраться, как управлять политиками паролей в VMWare vSphere, можно ли изменить срок появления уведомления об истечении срока действия пароля для локальных и доменных пользователей клиента vSphere и можно ли настроить, чтобы пароли определённых пользователи были бессрочными (никогда не истекали). Вот что удалось накопать:

VMWAre предупреждение Your password will expire in xx days

Политика паролей SSO в VMware vCenter

В моем случае, я решил отключить требование смены пароля для локального пользователя [email protected] (т.к. под этим пользователем никто постоянно не работает, а администраторы авторизуются под учетными записями их домена AD).

Для локальных пользователей vCenter по-умолчанию действует SSO политика, которая требует смену пароля пользователя каждые 90 дней.

Настройки парольной политики SSO находятся в разделе vSphere Client: Administration -> Single Sign On -> Configuration.

Как вы видите на вкладке Password Policy, к паролю всех локальных пользователей vCSA применяются следующие требования:

  • Минимальная длина – 8 символов (максимальная – 20);
  • Срок действия пароля – 90 дней;
  • Запрещено использовать последние 5 паролей;
  • Есть ограничения на сложность пароля.

Нажмите кнопку Edit и измените параметры политики. Например, вы можете изменить значение Maximum lifetime до 365 (это значит, что пароли нужно менять раз в год), либо указать здесь 0 (значит срок действия пароля не ограничен).

vmware SSO политики паролей

Индивидуальная парольная политика для локальных пользователей VMWare vCSA

Если вы не хотите менять парольную политику для всех пользователей, вы можете изменить настройки срока действия пароля для конкретного пользователя. Например, вы хотите, чтобы пароль локального пользователя backup_user никогда не истекал (сделать его бессрочным). Для этого вам нужно подключится к хосту vCSA с помощью SSH клиента.

Включите SSH доступ к vCSA через Appliance Management (https://your_vcenter:5480/ui/access) в разделе Access -> SSH login -> Enabled.

включить ssh в vcenter server appliance

Нам понадобится утилита dir-cli, которая находится в каталоге /usr/lib/vmware-vmafd/bin/ .

cd /usr/lib/vmware-vmafd/bin/

Проверим что есть такой пользователь:

./dir-cli user find-by-name --account backup_user

Enter password for [email protected]:
Account: backup_user
UPN: [email protected]

dir-cli user modify --account backup_user --password-never-expires

Вы можете изменить пароль этого пользователя:

./dir-cli password reset --account backup_user --password OldP@ssw0rd --new NewP@ssw0rd

Или указать, что пароль пользователя не должен истекать никогда:

./dir-cli user modify --account backup_user --password-never-expires

Enter password for [email protected]:
Password set to never expire for [backup_user]

Срок действия пароля для root в vCSA

При установке vCenter Server Appliance для пользователя root также устанавливается срок действия пароля – 365 дней (в vCenter <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.

Настройки парольной политики для root можно проверить в vCSA Appliance Management (https://your_vcenter:5480/ui/access). Перейдите в раздел Administration и проверьте значение параметров в разделе Password expiration settings.

  • Password expires: Yes
  • Password validity (days): 90
  • Password expires on: Jun 13, 2019, 5:00:00 AM

vmware appliance - password expiration settings

Вы можете увеличить срок действия пароля root, или установить, что пароль root никогда не истекает (значение 0).

Аналогично вы можете проверить срок действия пароля root из консоли сервера:

chage -l root

политика паролей root в vmware vcenter appliance

Last password change : Mar 15, 2019
Password expires : Jun 13, 2019
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 90
Number of days of warning before password expires : 7

Что интересно в интерфейсе vCSA Appliance Management у пользователя root не запрашивается смена пароля и нет предупреждения об истечении срока его действия.

Однако при выполнении операций обновления vCenter Server Appliance вы можете столкнуться с ошибкой вида:

Appliance (OS) root password is expired or is going to expire soon. Please change the root password before installing an update.

Либо при попытке сменить пароль root через vCSA Appliance Management при истекшем пароле может появится предупреждение:

Permission Denied. Set the maximum number of days when the password will expire. Administrator configuration updated succesfully.

В этом случае вам нужно сменить пароль root из консоли vCSA обычной командой:

passwd

passwd изменить пароль root в vmware vCSA

Уведомление об истечении срока пароля в vCenter

По умолчанию в клиенте vCenter уведомление об истечении срока действия пароля пользователя начинает отображаться за 30 дней до его окончания.

В том случае, если пользователи авторизуются в vCenter под своими учетными записями AD, для паролей пользователей применяются доменные парольные политики. И для пользователя начинает появляться уведомление о смене пароля за 30 дней до его истечения. Т.е. если в домене вы для пользователей используете политику смены пароля каждые 30 дней, то у пользователей в интерфейсе vCenter постоянно висит раздражающее напоминание Your password will expire.

В vCSA вы можете настроить за сколько дней до истечения срока действия пароля у пользователя будет отображаться данное уведомление.

Если вы используете HTML5 клиент vSphere, эта настройка указывается в конфигурационном файле на сервере vCenter Server Appliance в файле /etc/vmware/vsphere-ui/webclient.properties.

Откройте файл и найдите параметр sso.pending.password.expiration.notification.days.

sso.pending.password.expiration.notification.days

Измените его значение на 7 (это значит, что уведомление об истечении срока пароля будет отображаться за 7 дней) и перезапустите клиент vSphere:

service-control --stop vsphere-ui
service-control --start vsphere-ui

Если вы используете старый Web Client (Flex) вам нужно изменить значение параметра sso.pending.password.expiration.notification.days в файле /etc/vmware/vsphere-client/webclient.properties.

После редактирования настроек также нужно перезапустить службу веб-клиента:

service-control --stop vsphere-client
service-control --start vsphere-client


Предыдущая статья Следующая статья


Комментариев: 0 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)