Периодично, у вСпхере Цлиент интерфејсу наиђем на обавештење о потреби ресетовања лозинке: Ваша лозинка истиче након кк дана
. Желео сам да схватим како управљати смерницама за лозинке у ВМВаре вСпхере, да ли је могуће променити период обавештења о истеку лозинке за локалне и домене корисника вСпхере клијента и да ли је могуће конфигурисати лозинке за одређене кориснике да буду неограничене (никада не истекну). Ево шта смо успели да ископамо:
Садржај:
- ССО политика лозинке у ВМваре вЦентер
- Индивидуална правила о лозинкама за локалне кориснике ВМВаре вЦСА
- Вријеме истека лозинке за роот у вЦСА
- Обавештење о истеку лозинке у вЦентер
ССО политика лозинке у ВМваре вЦентер
У мом случају одлучио сам да онемогућим захтјев за променом лозинке за локалног корисника администратор@вцентер.лоцал
(пошто нико стално не ради под овим корисником, а администратори су овлашћени на рачунима АД домена).
За локалне кориснике вЦентер-а, ССО политика се подразумевано примењује, што захтева промену корисничке лозинке сваких 90 дана.
Подешавања ССО правила за лозинку налазе се у одељку вСпхере Цлиент: Администрација -> Појединачна пријава -> Конфигурација.
Као што можете видети на картици Политика лозинке, следећи захтеви се односе на лозинку свих локалних корисника вЦСА:
- Минимална дужина је 8 знакова (максимална 20);
- Лозинка важи 90 дана;
- Забрањено је користити последњих 5 лозинки;
- Постоје ограничења за сложеност лозинке.
Притисните дугме Измени и промените подешавања смерница. На пример, можете променити вредност Максимални век трајања пре 365 (то значи да се лозинке морају мењати једном годишње) или овде одредите 0 (што значи да лозинка није истекла).
Индивидуална правила о лозинкама за локалне кориснике ВМВаре вЦСА
Ако не желите да промените смернице за лозинку за све кориснике, можете да промените подешавања истека лозинке за одређеног корисника. На пример, желите да лозинка локалног корисника бацкуп_усер никада не истиче (учини је неограниченом). Да бисте то учинили, потребно је да се повежете на вЦСА хост користећи ССХ клијент.
Омогућите ССХ приступ вЦСА путем Апплианце Манагемент (хттпс: // иоур_вцентер: 5480 / уи / аццесс) у одељку Приступ -> Ссх пријава -> Омогућено.Треба нам услужни програм дир-цли, која се налази у директорију / уср / либ / вмваре-вмафд / бин /
.
цд / уср / либ / вмваре-вмафд / бин /
Проверите да ли постоји такав корисник:
./ дир-цли усер финд-би-наме --аццоунт бацкуп_усер
Унесите лозинку за администратор@вцентер.лоцал:
Рачун: бацкуп_усер
УПН: бацкуп_усер@ВЦЕНТЕР.ЛОЦАЛ
Можете да промените лозинку за овог корисника:
./ дир-цли ресетирање лозинке - рачуни бацкуп_усер - лозинка ОлдП @ ссв0рд - нови НевП @ ссв0рд
Или назначите да корисничка лозинка никада не треба да истекне:
./ дир-цли корисник модификује --аццоунт бацкуп_усер --пассворд-невер-екпирес
Унесите лозинку за администратор@вспхере.лоцал:
Постављена је лозинка која никада не истиче за [бацкуп_усер]
Вријеме истека лозинке за роот у вЦСА
Када инсталирате вЦентер Сервер Апплианце, кориснику роот-а се такође поставља време истека лозинке од 365 дана (у вЦентер <= 6.5) или 90 дней (в vSphere 6.7 ). Т.е. на пользователя root также действуют политики истечения срока пароля.
Подешавања правила за лозинку за роот могу се проверити у вЦСА Апплианце Манагемент (хттпс: // иоур_вцентер: 5480 / уи / аццесс). Идите на одељак Администрација и проверите вредност параметара у одељку подешавања лозинке.
- Истекла је лозинка: Да
- Важност лозинке (дана): 90
- Лозинка истиче: 13. јуна 2019. 5:00:00
Можете проширити роот лозинку или поставити да роот лозинка никада не истиче (вредност 0).
Слично томе, можете да проверите истек корисничке лозинке са конзоле сервера:
цхаге -л роот
Задња промена лозинке: 15. марта 2019
Лозинка истиче: 13. јуна 2019
Лозинка је неактивна: никад
Рачун истиче: никад
Минимални број дана између промене лозинке: 0
Максимални број дана између промене лозинке: 90
Број дана упозорења пре истека лозинке: 7
Занимљиво је да у вЦСА Апплианце Манагемент интерфејсу коријенски корисник не тражи промјену лозинке и нема упозорења о његовом истеку.
Међутим, приликом извођења операција надоградње вЦентер Сервер Апплианце можете наићи на грешку попут:
Коријенска лозинка за апликацију (ОС) је истекла или ће ускоро истећи. Промените роот лозинку пре инсталирања исправке.
Или, када покушате да промените роот лозинку кроз вЦСА Апплианце Манагемент са истеклом лозинком, може се појавити упозорење:
Дозвола је одбијена. Подесите максимални број дана када ће лозинка истећи. Конфигурација администратора успешно је ажурирана.
У овом случају морате променити роот лозинку са вЦСА конзоле са уобичајеном командом:
пассвд
Обавештење о истеку лозинке у вЦентер
Подразумевано, вЦентер клијент обавештење о истеку корисничке лозинке почиње да се приказује 30 дана пре истека рока.
У случају да се корисници пријављују у вЦентер под својим АД рачунима, за лозинке корисника примењују се смернице за лозинку домена. А за корисника, обавештење почиње да мења лозинку 30 дана пре него што истекне. И.е. ако у домену користите правила за промену лозинке за кориснике сваких 30 дана за кориснике, тада корисници у вЦентер сучељу стално имају неугодне подсетнике Ваша лозинка истиче.
У вЦСА можете конфигурирати колико дана прије истека лозинке корисник ће добити ово обавијест.
Ако користите ХТМЛ5 вСпхере клијент, ово подешавање је специфицирано у конфигурацијској датотеци на вЦентер Сервер Апплианце серверу у /итд. / вмваре / вспхере-уи / вебцлиент.пропертиес.
Отворите датотеку и пронађите параметар ссо.пендинг.пассворд.екпиратион.нотифицатион.даис.
Промените његову вредност у 7 (то значи да ће се обавештење о истеку лозинке приказати током 7 дана) и поново покрените вСпхере клијент:
сервис-контрола - стоп вспхере-уи
сервице-цонтрол - покренути вспхере-уи
Ако користите стари Веб Цлиент (Флек), потребно је да промените вредност параметра ссо.пендинг.пассворд.екпиратион.нотифицатион.даис у датотеци /етц/вмваре/вспхере-цлиент/вебцлиент.пропертиес.
Након уређивања поставки, такође морате да поново покренете сервис веб клијента:
сервис-контрола - зауставите вспхере-клијента
сервице-цонтрол - покренути вспхере-цлиент