【VMware VCF】管理 VCF 环境中组件的密码计谋。

打印 上一主题 下一主题

主题 726|帖子 726|积分 2178

使用 SDDC Manager 中的“密码管理”功能可以统一管理 VCF 环境中组件的用户密码,好比更新(Update)、轮换(Rotate)以及修复(Remediate)组件的密码等,您还可以创建密码轮换调度使命,以防止因遗忘或其他原因导致密码过期及组件停止,进而影响业务。

使用 SoS 实用步伐可以检查 VCF 环境中组件的用户密码状态,好比末了一次修改日期、过期日期以及过期剩余时间等,如下所示。
  1. vcf@vcf-mgmt01-sddc01 [ ~ ]$ sudo /opt/vmware/sddc-support/sos --password-health
  2. [sudo] password for vcf
  3. Welcome to Supportability and Serviceability(SoS) utility!
  4. Performing SoS operation for vcf-mgmt01 domain components
  5. Health Check : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-12-29-31-149728
  6. Health Check log : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-12-29-31-149728/sos.log
  7. NOTE : The Health check operation was invoked without --skip-known-host-check, additional identity checks will be included for Connectivity Health, Password Health and Certificate Health Checks because of security reasons.
  8. SDDC Manager : vcf-mgmt01-sddc01.mulab.local                                                                                
  9. +-------------------------+-----------+
  10. |          Stage          |   Status  |
  11. +-------------------------+-----------+
  12. |         Bringup         | Completed |
  13. | Management Domain State | Completed |
  14. +-------------------------+-----------+
  15. +--------------------+---------------+
  16. |     Component      |    Identity   |
  17. +--------------------+---------------+
  18. |    SDDC-Manager    | 192.168.32.70 |
  19. | Number of Servers  |       4       |
  20. +--------------------+---------------+
  21. Password Expiry Status : GREEN                                                                                 
  22. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  23. | SL# |                Component                |            User           | Last Changed Date | Expiry Date  | Expires in Days | State |
  24. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  25. |  1  |   ESXI : vcf-mgmt01-esxi01.mulab.local  | svc-vcf-vcf-mgmt01-esxi01 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  26. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  27. |  2  |   ESXI : vcf-mgmt01-esxi02.mulab.local  | svc-vcf-vcf-mgmt01-esxi02 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  28. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  29. |  3  |   ESXI : vcf-mgmt01-esxi03.mulab.local  | svc-vcf-vcf-mgmt01-esxi03 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  30. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  31. |  4  |   ESXI : vcf-mgmt01-esxi04.mulab.local  | svc-vcf-vcf-mgmt01-esxi04 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  32. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  33. |  5  |    NSX : vcf-mgmt01-nsx01.mulab.local   |           admin           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  34. |     |                                         |            root           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  35. |     |                                         |           audit           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  36. |  6  |   SDDC : vcf-mgmt01-sddc01.mulab.local  |            vcf            |    Dec 07, 2024   | Dec 07, 2025 |     365 days    | GREEN |
  37. |     |                                         |            root           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  38. |     |                                         |           backup          |    Dec 07, 2024   | Dec 07, 2025 |     365 days    | GREEN |
  39. |  7  | vCenter : vcf-mgmt01-vcsa01.mulab.local |            root           |    Dec 07, 2024   | Mar 07, 2025 |     89 days     | GREEN |
  40. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  41. Legend:
  42. GREEN - No attention required, health status is NORMAL
  43. YELLOW - May require attention, health status is WARNING
  44. RED - Requires immediate attention, health status is CRITICAL
  45. Health Check completed successfully for : [VCF-SUMMARY, PASSWORD-CHECK]                                                                                
  46. vcf@vcf-mgmt01-sddc01 [ ~ ]$
复制代码
根据上面所输出的结果,能够很清楚的了解各个组件用户密码的状态,不过,你可能想知道我能不能重新调整一下这些组件的默认“密码计谋”?好比密码过期、密码复杂度以及账户锁定等。答案是肯定的!首先,让我们参考《Information Security and Access of Identity and Access Management for VMware Cloud Foundation》产品文档,先来了解一下 VCF 环境中组件的默认密码计谋。
 
一、密码过期计谋

组件级别参数设置默认描述备注
ESXi 主机本地用户Security.PasswordMaxDays99999 (never)设置多少天密码过期。您可以使用 vSphere Client 或 Host Client 中的高级系统设置按主机管理密码过期计谋。您可以修改每个 ESXi 主机上的配置设置,以优化设置并遵守组织的计谋和法规标准。
vCenter Server全局Maximum (days)
90设置最大多少天密码过期。
您可以按实例管理密码过期计谋。您可以修改每个 vCenter Server 实例上的配置设置,以优化设置并遵守组织的计谋和法规标准。
Minimum (days)
0设置最小多少天密码过期。
Warning
7设置密码过期前多少天警告。
本地用户Password Expires
Yes设置 root 密码是否过期。
Password validity
90设置多少天密码过期。
Email for expiration warning
-设置密码过期警告的电子邮件。
Warning (days)
7设置密码过期前多少天警告。
Single Sign-OnMaximum lifetime90设置多少天密码过期。您可以管理每个内置身份提供步伐域的 vCenter Single Sign-On 密码过期计谋。密码过期计谋仅适用于 vCenter Single Sign-On 内置身份提供步伐域(比方 vsphere.local)中的用户帐户。该计谋不适用于本地系统账户或域的默认管理员账户(比方,administrator@vsphere.local)。您可以修改 vCenter Single Sign-On 身份提供步伐域的配置设置,以优化设置并遵守组织的计谋和法规标准。
NSX + NSX Edge本地用户
maxdays90设置最大多少天密码过期。通过使用 NSX Local Manager 集群和 NSX Edge 节点上内置 NSX 帐户的 API,您可以按用户管理 NSX 密码过期计谋。您可以修改每个 NSX Local Manager 集群和每个 NSX Edge 节点上的配置,以优化设置并遵守组织的计谋和法规标准。
SDDC Manager本地用户maxdays90设置最大多少天密码过期。
(VMware Cloud Foundation 4.5 及更高版本)
您可以基于用户管理密码过期计谋。您可以修改用户的配置,以优化设置并遵守组织的计谋和法规标准。
365设置最大多少天密码过期。
(VMware Cloud Foundation 4.4 及更高版本)
mindays0设置最小多少天密码过期。
warndays7设置密码过期前多少天警告。
 
二、密码复杂性计谋

组件级别参数设置默认描述备注
ESXi 主机本地用户Security.PasswordQualityControlretry=3 min=disabled,disabled,disabled,7,7
密码设置或更新的重设次数,值为3表示设置密码时如果密码不符合上述要求的重试次数为3次。
字符种别和密码短语最小长度要求。不允许使用包含一种或两种种别字符的密码,也不允许使用密码短语,因为前三项已停用。使用三种和四种字符种别的密码需要 7 个字符。
密码开头的大写字母不算入使用的字符种别数。密码结尾的数字不算入使用的字符种别数。
您可以使用 vSphere Client 或 Host Client 中的高级系统设置按主机管理密码复杂性计谋。您可以编辑和修改配置以优化设置并遵守组织的计谋和法规标准。
Security.PasswordHistory0设置记着曾设置密码的汗青次数,值为0表示不限制。
vCenter Server本地用户dcredit-1设置密码应包含的数字字符(如0、1、2)数目,值为-1表示至少一个。
您可以通过按实例使用 /etc/pam.d/system-password 文件来管理本地用户密码复杂性计谋。您可以修改每个 vCenter Server 实例上的配置设置,以优化设置并遵守组织的计谋和法规标准。
ucredit-1设置密码应包含的大写字母(如A、B、C)数目,值为-1表示至少一个。
lcredit-1设置密码应包含的小写字母(如a、b、c)数目,值为-1表示至少一个。
ocredit-1设置密码应包含的其他字符(如!、@、#)数目,值为-1表示至少一个。
minlen6设置密码应具有的最小字符数目,值为6表示至少具有六个字符。
difok4设置新密码与旧密码相比差别的字符数目,值为4表示至少具有四个字符不一样。
remember5设置记着曾设置密码的汗青次数,值为5表示新密码不应该是之前设置的5次密码中的任何一个。
Single Sign-OnRestrict reuse
5设置记着曾设置密码的汗青次数,值为5表示新密码不应该是之前设置的5次密码中的任何一个。您可以管理每个内置身份提供步伐域的 vCenter Single Sign-On 密码过期计谋。密码复杂性计谋仅适用于 vCenter Single Sign-On 内置身份提供步伐域(比方 vsphere.local)中的用户帐户。该计谋不适用于本地系统账户或内置身份提供商的默认管理员账户(比方,administrator@vsphere.local)。
Maximum length
20设置最大密码长度(字符数)。
Minimum length
8设置最小密码长度(字符数)。
Special characters
1设置特殊字符的最少数目。
Alphabetic characters
2设置最少字母字符数。
Uppercase characters
1设置最少大写字符数。
Lowercase characters
1设置最少小写字符数。
Numeric characters
1设置最小数字字符数。
Identical adjacent characters
1设置雷同相邻字符的最大数目。
NSX + NSX Edge本地用户dcredit-1设置密码应包含的数字字符(如0、1、2)数目,值为-1表示至少一个。
您可以通过对 NSX Manager 集群和 NSX Edge 节点上的内置 NSX 帐户按节点使用 /etc/pam.d/common-password 文件来管理密码复杂性计谋。您可以修改每个 NSX Manager 节点和每个 NSX Edge 节点上的配置,以优化设置并遵守组织的计谋和法规标准。
ucredit-1设置密码应包含的大写字母(如A、B、C)数目,值为-1表示至少一个。
lcredit-1设置密码应包含的小写字母(如a、b、c)数目,值为-1表示至少一个。
ocredit-1设置密码应包含的其他字符(如!、@、#)数目,值为-1表示至少一个。
minlen15设置密码应具有的最小字符数目,值为15表示至少具有十五个字符。
difok0设置新密码与旧密码相比差别的字符数目,值为0表示不限制。
retry3密码设置或更新的重设次数,值为3表示设置密码时如果密码不符合上述要求的重试次数为3次。
SDDC Manager本地用户dcredit-1设置密码应包含的数字字符(如0、1、2)数目,值为-1表示至少一个。
您可以使用 /etc/pam.d/system-password 文件管理密码复杂性计谋。您可以编辑和修改配置以优化设置并遵守组织的计谋和法规标准。
ucredit-1设置密码应包含的大写字母(如A、B、C)数目,值为-1表示至少一个。
lcredit-1设置密码应包含的小写字母(如a、b、c)数目,值为-1表示至少一个。
ocredit-1设置密码应包含的其他字符(如!、@、#)数目,值为-1表示至少一个。
minlen8设置密码应具有的最小字符数目,值为15表示至少具有十五个字符。
minclass4设置密码必须使用的最小字符类型数(比方,大写、小写、数字等)。
difok4设置新密码与旧密码相比差别的字符数目,值为4表示至少具有四个字符不一样。
retry3密码设置或更新的重设次数,值为3表示设置密码时如果密码不符合上述要求的重试次数为3次。
maxsequence0设置密码单个字符可以重复的最大次数,值为0表示不限制。
remember5设置记着曾设置密码的汗青次数,值为5表示新密码不应该是之前设置的5次密码中的任何一个。
 
三、账户锁定计谋

组件级别参数设置默认描述备注
ESXi 主机本地用户Security.AccountLockFailures5设置帐户被锁定之前的最大身份验证失败次数。SSH 和 API 支持 ESXi 帐户锁定。如果用户实验使用 SSH 或 API 使用不正确的本地帐户凭据登录,则该帐户将被锁定。DCUI 和 ESXi Shell 不支持帐户锁定。
您可以使用 vSphere Client 或 Host Client 中的高级系统设置按主机管理帐户锁定计谋。您可以编辑和修改配置以优化设置并遵守组织的计谋和法规标准。

Security.AccountUnlockTime900设置帐户处于锁定状态的时间(以秒为单位)。
vCenter Server本地用户deny3设置帐户被锁定之前的最大身份验证失败次数。您可以通过按实例使用 /etc/pam.d/system-auth 文件来管理本地用户帐户锁定计谋。您可以修改每个 vCenter Server 实例上的配置设置,以优化设置并遵守组织的计谋和法规标准。
unlock_time900设置帐户处于锁定状态的时间(以秒为单位)。
root_unlock_time300设置 root 帐户处于锁定状态的时间(以秒为单位)。
Single Sign-OnMaximum number of failed login attempts5设置帐户被锁定之前的最大身份验证失败次数。您可以按内置身份提供步伐域管理 vCenter Single Sign-On 帐户锁定计谋。您可以编辑和修改配置以优化设置并遵守组织的计谋和法规标准。
Time interval between failures180设置登录失败的时间(以秒为单位),如 180 秒内连续失败了 5 次才将账户锁定。
Unlock time900设置 root 帐户处于锁定状态的时间(以秒为单位)。如果将其设置为 0,则管理员必须显式解锁帐户。
NSX + NSX Edge本地用户(API)max-auth-failures5设置帐户被锁定之前的最大身份验证失败次数。
您可以使用身份验证计谋,可以按 NSX Local Manager 集群的实例和 NSX Edge 节点的节点实例管理账户锁定计谋。您可以为 NSX Local Manager 集群和 NSX Edge 节点的 NSX Manager 用户界面和 API 以及下令行界面 (CLI) 配置帐户锁定计谋。您可以修改每个 NSX Local Manager 集群和每个 NSX Edge 节点上的配置,以优化设置并遵守组织的计谋和法规标准。
lockout-reset-period180设置登录失败的时间(以秒为单位),如 180 秒内连续失败了 5 次才将账户锁定。
lockout-period900设置帐户处于锁定状态的时间(以秒为单位)。
本地用户(CLI)max-auth-failures5设置帐户被锁定之前的最大身份验证失败次数。
lockout-period900设置帐户处于锁定状态的时间(以秒为单位)。
SDDC Manager本地用户deny3设置帐户被锁定之前的最大身份验证失败次数。
您可以使用 /etc/pam.d/system-auth 文件管理帐户锁定计谋。您可以编辑和修改配置以优化设置并遵守组织的计谋和法规标准。
unlock_time86400设置帐户处于锁定状态的时间(以秒为单位)。
root_unlock_time300设置 root 帐户处于锁定状态的时间(以秒为单位)。
 
四、管理密码计谋

了解了 VCF 环境中组件的密码计谋后,因为合规性或者安全性等要求,可能想要管理这些 VCF 组件的密码计谋,因此您可以参考这篇《VMware Cloud Foundation Operations Guide》产品文档中的以下内容,然后根据需要实行对应组件的密码计谋管理。
根据上面所列出的操作文档可知,要管理这些密码计谋可以使用多种方式,最原始的办法就是针对差别的组件的差别密码计谋,手动从组件中去修改那些参数,然后逐一完成组件的密码计谋调整过程。但是这种方式太过于繁琐了,对于有成百上千台主机的大型环境来说,文档中的另一种方式会更加方便,那就是使用“PowerShell”下令来配置。使用 PowerShell 来配置需要借助以下 PowerShell 模块:
参考文档,然后使用以下下令安装 VCF 密码管理模块。注意,安装使用这个模块之前,请参考这篇“使用 PowerVCF 连接和管理 VMware Cloud Foundation 环境。”文章准备这个模块所依靠的其他运行环境。
  1. Install-Module -Name VMware.CloudFoundation.PasswordManagement -Scope CurrentUser
  2. Get-Module -Name VMware.CloudFoundation.PasswordManagement -ListAvailable
复制代码

查察模块所支持的下令选项。
  1. Get-Command -Module VMware.CloudFoundation.PasswordManagement
复制代码

验证环境是否满意运行 PowerShell 模块要求。
  1. Test-VcfPasswordManagementPrereq
复制代码

使用 PowerVCF 连接到 SDDC Manager。
  1. Request-VCFToken -fqdn vcf-mgmt01-sddc01.mulab.local -username administrator@vsphere.local -password Vcf521@password
复制代码

使用以下下令获取指定 VCF 版本所有组件的默认密码计谋,或者直接将其输出为 JSON 文件。
  1. Get-PasswordPolicyDefault -version '5.2.0.0'
  2. Get-PasswordPolicyDefault -generateJson -jsonFile passwordPolicyConfig.json -version '5.2.0.0'
复制代码

使用以下下令获取 VCF 环境中组件密码计谋陈诉。

  • 所有工作负载域
  1. Invoke-PasswordPolicyManager -sddcManagerFqdn vcf-mgmt01-sddc01.mulab.local -sddcManagerUser administrator@vsphere.local -sddcManagerPass Vcf521@password -sddcRootPass Vcf521@password -reportPath "D:\Reporting" -darkMode -allDomains
复制代码

  • 指定工作负载域
  1. Invoke-PasswordPolicyManager -sddcManagerFqdn vcf-mgmt01-sddc01.mulab.local -sddcManagerUser administrator@vsphere.local -sddcManagerPass Vcf521@password -sddcRootPass Vcf521@password -reportPath "D:\Reporting" -darkMode -workloadDomain vcf-mgmt01
复制代码

使用以下下令获取 VCF 环境中组件密码轮换陈诉。

  • 所有工作负载域
  1. Invoke-PasswordRotationManager  -sddcManagerFqdn vcf-mgmt01-sddc01.mulab.local -sddcManagerUser administrator@vsphere.local -sddcManagerPass Vcf521@password -sddcRootPass Vcf521@password -reportPath "D:\Reporting" -darkMode -allDomains
复制代码

  • 指定工作负载域
  1. Invoke-PasswordRotationManager -sddcManagerFqdn vcf-mgmt01-sddc01.mulab.local -sddcManagerUser administrator@vsphere.local -sddcManagerPass Vcf521@password -sddcRootPass Vcf521@password -reportPath "D:\Reporting" -darkMode -workloadDomain vcf-mgmt01
复制代码

根据 JSON 文件以及陈诉文件,对 VCF 环境中的所有组件统一配置密码计谋。
  1. Start-PasswordPolicyConfig -sddcManagerFqdn vcf-mgmt01-sddc01.mulab.local -sddcManagerUser administrator@vsphere.local -sddcManagerPass Vcf521@password -sddcRootPass Vcf521@password -reportPath "D:\Reporting" -policyFile "passwordPolicyConfig.json"
复制代码
检索指定 VCF 组件的本地用户的密码过期计谋。
  1. Request-LocalUserPasswordExpiration -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -product vcenterServer -vmName vcf-mgmt01-vcsa01 -guestUser root -guestPassword Vcf521@password -localUser "root"
复制代码

更新指定 VCF 组件的本地用户密码过期限期(以天为单位)。
  1. Update-LocalUserPasswordExpiration -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -vmName vcf-mgmt01-vcsa01 -guestUser root -guestPassword Vcf521@password -localUser "root","sshuser" -minDays 0 -maxDays 180 -warnDays 14
复制代码

检索 SDDC Manager 组件的密码过期计谋。
  1. Request-SddcManagerPasswordExpiration -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password  -rootPass Vcf521@password
复制代码

更新 SDDC Manager 组件的密码过期计谋。
  1. Update-SddcManagerPasswordExpiration -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password  -rootPass Vcf521@password -minDays 0 -maxDays 400 -warnDays 14
复制代码

检索 ESXi 组件的密码复杂性计谋。
  1. Request-EsxiPasswordComplexity -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -cluster vcf-mgmt01-cluster01
复制代码

更新 ESXi 组件的密码复杂性计谋。
  1. Update-EsxiPasswordComplexity -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -cluster vcf-mgmt01-cluster01 -policy "retry=5 min=disabled,disabled,disabled,8,8" -history 3
复制代码

检索 ESXi 组件的账户锁定计谋。
  1. Request-EsxiAccountLockout -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -cluster vcf-mgmt01-cluster01
复制代码

更新 ESXi 组件的账户锁定计谋。
  1. Update-EsxiAccountLockout -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -cluster vcf-mgmt01-cluster01 -failures 3 -unlockInterval 600
复制代码

检索 SDDC Manager 管理的指定工作负载域的所有组件的密码轮换设置。
  1. Request-PasswordRotationPolicy -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password
复制代码

更新 SDDC Manager 管理的 vCenter Server 组件的密码轮换设置。
  1. Update-PasswordRotationPolicy -server vcf-mgmt01-sddc01.mulab.local -user administrator@vsphere.local -pass Vcf521@password -domain vcf-mgmt01 -resource vcenterServer -resourceName vcf-mgmt01-vcsa01.mulab.local -credential SSH -credentialName root -autoRotate enabled -frequencyInDays 90
复制代码


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

八卦阵

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表