【VMware vCenter】修改vCenter Server管理后台VAMI登录用户ROOT的密码策略。
vCenter Server作为家庭实验室环境时,可以设置一个简单且容易记住的密码,而不需要考虑那么多的安全性要求。
默认情况下,vCenter的密码强度要求比较高,SSO用户还好可以修改,VAMI账户root并没有提供可以修改的地方。
vCenter的SSO用户密码策略可以在vSphere Client-系统管理-Single Sign On-配置-本地账户,这个地方进行修改。
登录VAMI管理后台(https://appliance-IP-address-or-FQDN:5480),点击系统管理,可以看到密码复杂度要求。
点击右上角的“更改”,发现只能更改密码,并不能对密码的策略进行修改。
vCenter Server的环境是8.0.2.00200(内部版本号23319993),通过ROOT登录VCSA的SHELL命令行。
vCenter Server管理后台VAMI登录用户ROOT的密码策略可以在/etc/pam.d/system-password中修改。
vCenter Server是基于VMware Photon OS 4.0系统发行的,也就是说此PAM文件也可以参考Linux配置。
通过修改system-password当中的pam_pwquality.so和pam_pwhistory.so模块参数来调整密码的策略。
| 模块名称 | 参数 | 含义 |
| pam_pwquality.so | dcredit | 密码应包含的数字字符(如0、1、2)数量,值为-1表示至少一个。 |
| ucredit | 密码应包含的大写字母(如A、B、C)数量,值为-1表示至少一个。 | |
| ucredit | 密码应包含的小写字母(如a、b、c)数量,值为-1表示至少一个。 | |
| ocredit | 密码应包含的其他字符(如!、@、#)数量,值为-1表示至少一个。 | |
| minlen | 密码应具有的最小字符数量,值为6表示至少具有六个字符。 | |
| difok | 新密码与旧密码相比不同的字符数量,值为4表示至少具有四个字符不一样。 | |
| enforce_for_root | 即使是root用户设置密码,也应强制执行密码策略。 | |
| pam_pwhistory.so | remember | 记住曾设置密码的历史次数,值为5表示新密码不应该是之前设置的5次密码中的任何一个。 |
| retry | 密码设置或更新的重设次数,值为3表示设置密码时如果密码不符合上述要求的重试次数为3次。 | |
| enforce_for_root | 即使是root用户设置密码,也应强制执行密码策略。 | |
| use_authtok | 更改密码时,强制模块使用先前堆叠的密码模块提供的新密码。 |
设置ocredit=0表示密码可以不需要特殊字符,dcredit=2表示数字字符应具有两个,如果是负值表示至少需要的数量。根据需要修改参数定义的值,比如,将dcredit、ucredit、ucredit、ocredit全部设置为0,表示可以随意修改root的密码。或者,将enforce_for_root直接删掉,让root用户不受这里的策略限制也可以。将remember的值设置为0,则可以随意修改为之前设置的任何一个密码。
下面测试一下,将root密码设置成简单的password,看是否能正常修改成功。然而,并没有成功,没有通过字典检查。
还需要在pam_pwquality.so模块中添加dictcheck=0这个配置来关闭字典检查,然后再次修改密码,可以成功修改了。
pam_pwquality.so和pam_pwhistory.so模块参数也可以在/etc/security/的pwquality.conf和pwhistory.conf配置文件中进行修改。
当对pam_pwquality.so和pam_pwhistory.so模块参数进行修改后,新参数在vCenter Server管理后台VAMI中的显示并不会变化。
注意:上述方法不建议用于生产环境。同时,如果进行补丁更新或升级,这些设置可能会被还原。
