でのアカウント ロックアウト ポリシーの構成
アカウント ロックアウト ポリシーは、システムへの認証に誤った認証情報が使用された場合のシステムの動作を定義します。設定は、 インスタンスのアカウント タイプおよびコンポーネントによって異なります。
管理コンポーネント |
アカウント ロックアウト設定 |
範囲 |
|---|---|---|
ESXi |
|
ローカル ユーザー |
vCenter Single Sign-On |
|
vCenter Single Sign-On ドメイン |
vCenter Server |
|
ローカル ユーザー |
NSX Manager |
|
ローカル ユーザー |
NSX Edge |
|
ローカル ユーザー |
SDDC Manager |
|
ローカル ユーザー |
前提条件
パスワード ポリシー構成の前提条件を参照してください。
ESXi のローカル アカウント ロックアウト ポリシーの構成
ログイン試行の最大失敗回数と、 の ESXi ホスト上のローカル アカウントが自動的にロック解除されるまでの時間を設定します。
設定 |
デフォルト値 |
|---|---|
Security.AccountLockFailures |
5 |
Security.AccountUnlockTime |
900 |
ユーザー インターフェイスの手順
- ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- ホストおよびクラスタインベントリで、最初の vSphere クラスタに移動して展開します。
- 最初の ESXi ホストを選択し、設定タブをクリックします。
- システムセクションで、システムの詳細設定をクリックします。
- システムの詳細設定画面で、編集をクリックします。
- キー フィルタ テキスト ボックスに「Security.AccountLockFailures」と入力し、組織の要件に応じて値を入力します。
- キー フィルタ テキスト ボックスに「Security.AccountUnlockTime」と入力し、組織の要件に応じて値を入力して、OKをクリックします。
- クラスタの残りのホストでこの手順を繰り返します。
- ワークロード ドメイン内の残りのクラスタでこの手順を繰り返します。
- 残りのワークロード ドメインのすべてのクラスタでこの手順を繰り返します。
PowerShell の手順
- PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $maxFailures = "5" $unlockInterval = "900"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-EsxiAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -failures $maxFailures -unlockInterval $unlockInterval
- $sddcDomainNameワークロード ドメインのすべての残りのクラスタでこの手順を繰り返します。
- 残りのワークロード ドメインのすべてのクラスタでこの手順を繰り返します。
vCenter Single Sign-On のアカウント ロックアウト ポリシーの構成
の vsphere.local ドメイン内のユーザー アカウントのログイン試行の最大失敗回数と失敗間隔を設定します。アカウントのロックが自動的に解除されるまでの時間も設定します。
ロックアウト ポリシーは、vCenter Single Sign-On の組み込み ID プロバイダ
vsphere.local
のユーザー アカウントにのみ適用されます。このポリシーは、ローカル システム アカウントおよび administrator@vsphere.local
には適用されません。設定 |
デフォルト値 |
|---|---|
ログイン試行の最大失敗回数 |
5 |
失敗した試行の時間間隔 |
180 秒 |
ロック解除時間 |
900 秒 |
ユーザー インターフェイスの手順
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- vSphere Client メニューから、管理を選択します。
- シングル サインオンセクションで、構成をクリックします。
- 構成ページで、ローカル アカウントタブをクリックします。
- ロックアウト ポリシーセクションで、編集をクリックします。
- 組織の要件に応じて設定の値を入力し、保存をクリックします。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $failureAttemptInterval = "180" $unlockInterval = "900"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-SsoAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -failureInterval $failureAttemptInterval -unlockInterval $unlockInterval
vCenter Server の root ユーザー アカウント ロックアウト ポリシーの構成
の vCenter Server アプライアンスの
root
ローカル アカウントに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。設定 |
デフォルト値 |
|---|---|
ログイン試行の最大失敗回数 |
3 |
root のロック解除時間 |
300 秒 |
ロック解除時間 |
900 秒 |
ユーザー インターフェイスの手順
- SSH を使用して vCenter Server アプライアンスにrootとしてログインします。
- シェル アクセスを有効にします。shell
- 次のコマンドを使用して、アプライアンスの認証要件をバックアップします。cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back
- 次のコマンドを使用して、試行の最大失敗回数を変更します。sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth
- 次のコマンドを使用して、rootアカウントのロック解除時間を変更します。sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth
- 次のコマンドを使用して、root アカウントのロック解除時間を変更します。sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth
- VI ワークロード ドメイン vCenter Server ごとにこの手順を繰り返します。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxFailures = "5" $unlockInterval = "900" $rootUnlockInterval = "300"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-VcenterAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval
- VI ワークロード ドメイン vCenter Server ごとにこの手順を繰り返します。
NSX Manager のローカル ユーザー アカウント ロックアウト ポリシーの構成
の NSX Manager アプライアンスのローカル ユーザーに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。
方法 |
設定 |
デフォルト値 |
|---|---|---|
API |
max-auth-failures |
5 |
lockout-reset-period |
180 秒 |
|
ロックアウト期間 |
900 秒 |
|
CLI |
max-auth-failures |
5 |
ロックアウト期間 |
900 秒 |
ユーザー インターフェイスの手順
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- 仮想マシンおよびテンプレートインベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
- NSX Manager クラスタを含む仮想マシン フォルダを展開します。
- NSX Manager クラスタの最初のノードを選択し、Web コンソールの起動をクリックします。
- NSX Manager ノードにadminとしてログインします。
- 組織の要件に従って、NSX Manager ユーザー インターフェイスにログインしたり、API 要求を行ったりするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。set auth-policy api lockout-period <lockout-period> set auth-policy api lockout-reset-period <lockout-reset-period> set auth-policy api max-auth-failures <auth-failures>
- 組織の要件に従って NSX CLI にログインするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
- 管理ドメインの残りの NSX ローカル マネージャ ノードでこの手順を繰り返します。
- すべての VI ワークロード ドメインの NSX ローカル マネージャ ノードでこの手順を繰り返します。
- すべての NSX グローバル マネージャ クラスタでこの手順を繰り返します。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900" $apiMaxFailures = "5" $apiUnlockInterval = "900" $apiFailureInterval = "180"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-NsxtManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval -apiFailures $apiMaxFailures -apiFailureInterval $apiFailureInterval -apiUnlockInterval $apiUnlockInterval
- VI ワークロード ドメインのすべての NSX ローカル マネージャ クラスタでこの手順を繰り返します。
- 各ノードのアプライアンス コンソールで、すべての NSX グローバル マネージャ クラスタのアカウント ロックアウト ポリシーを手動で構成します。
NSX Edge のローカル ユーザー アカウント ロックアウト ポリシーの構成
の NSX Edge アプライアンスのローカル ユーザーに対してログイン試行の最大失敗回数とアカウントが自動的にロック解除されるまでの時間を設定します。
方法 |
設定 |
デフォルト値 |
|---|---|---|
CLI |
max-auth-failures |
5 |
ロックアウト期間 |
900 秒 |
ユーザー インターフェイスの手順
- NSX Edge 仮想アプライアンスを構成する場合は、vSphere Client の Web コンソールを使用してアプライアンス コンソールを開きます。
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- 仮想マシンおよびテンプレートインベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
- NSX Edge クラスタを含む仮想マシン フォルダを展開します。
- NSX Edge クラスタの最初のノードを選択し、Web コンソールの起動をクリックします。
- ベアメタル NSX Edge アプライアンスを構成する場合は、iLO や iDRAC などのアウトオブバンド管理インターフェイスを使用してアプライアンス コンソールを開きます。
- NSX Edge ノードにadminとしてログインします。
- 組織の要件に従って NSX CLI にログインするためのアカウント ロックアウト ポリシーを構成するには、次のコマンドを実行します。set auth-policy cli lockout-period <lockout-period> set auth-policy cli max-auth-failures <auth-failures>
- 管理ドメインの残りの NSX Edge ノードでこの手順を繰り返します。
- VI ワークロード ドメインのすべての NSX Edge ノードでこの手順を繰り返します。
PowerShell の手順
PowerShell コマンドを使用してアカウント ロックアップ ポリシーを構成できるのは、SDDC Manager を使用して展開された の NSX Edge ノードのみです。手動で展開された NSX Edge 仮想アプライアンス、ベアメタル NSX Edge アプライアンスの場合は、
NSX-T Data Center のドキュメント
に従ってポリシーを手動で構成します。- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cliMaxFailures = "5" $cliUnlockInterval = "900"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-NsxtEdgeAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cliFailures $cliMaxFailures -cliUnlockInterval $cliUnlockInterval
- すべての VI ワークロード ドメインでこの手順を繰り返します。
SDDC Manager のローカル ユーザー アカウント ロックアウト ポリシーの構成
ログイン試行の最大失敗回数と SDDC Manager アプライアンスのアカウントが自動的にロック解除されるまでの時間を設定します。
設定 |
デフォルト値 |
|---|---|
ログイン試行の最大失敗回数 |
3 |
root のロック解除時間 |
300 秒 |
すべてのローカル アカウントのロック解除時間 |
86,400 秒 |
ユーザー インターフェイスの手順
- SSH を使用して SDDC Manager アプライアンスにvcfとしてログインします。
- rootユーザーに変更します。su -
- 次のコマンドを使用して、アプライアンスの認証要件をバックアップします。cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth-`date +%F_%H:%M:%S`.back
- 次のコマンドを使用して、試行の最大失敗回数を変更します。sed -i -E 's/deny=[-]?[0-9]+/deny=<your_value>/g' /etc/pam.d/system-auth
- 次のコマンドを使用して、rootアカウントのロック解除時間を変更します。sed -i -E 's/root_unlock_time=[-]?[0-9]+/root_unlock_time=<your_value>/g' /etc/pam.d/system-auth
- 次のコマンドを使用して、すべてのローカル アカウントのロック解除時間を変更します。sed -i -E 's/unlock_time=[-]?[0-9]+/unlock_time=<your_value>/g' /etc/pam.d/system-auth
この構成は、SDDC Manager アプライアンスのすべてのローカル ユーザー アカウントに適用されます。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $rootPass = "VMw@re1!" $maxFailures = "3" $unlockInterval = "86400" $rootUnlockInterval = "300"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-SddcManagerAccountLockout -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -rootPass $rootPass -failures $maxFailures -unlockInterval $unlockInterval -rootUnlockInterval $rootUnlockInterval