でのパスワード有効期限ポリシーの構成
パスワード有効期限ポリシーは、システムがパスワードの変更を強制する前にアカウントのパスワードを使用できる期間を定義します。 インスタンスの管理コンポーネントに応じて、このポリシーをグローバル レベルまたはローカル ユーザー レベルで定義します。
管理コンポーネント |
パスワード有効期限の設定 |
範囲 |
|---|---|---|
ESXi |
パスワード有効期限の間隔(日) |
ローカル ユーザー |
vCenter Single Sign-On |
パスワード有効期限の間隔(日) |
グローバル |
vCenter Server |
|
|
NSX Manager |
パスワード有効期限の間隔(日) |
ローカル ユーザー |
NSX Edge |
パスワード有効期限の間隔(日) |
ローカル ユーザー |
SDDC Manager |
|
ローカル ユーザー |
前提条件
パスワード ポリシー構成の前提条件を参照してください。
ESXi のローカル ユーザー パスワード有効期限ポリシーの構成
の ESXi ホスト上のローカル ユーザーのパスワードが期限切れになり、変更が強制されるまでの間隔を定義します。
設定 |
デフォルト値 |
|---|---|
Security.PasswordMaxDays |
99999 |
前提条件
ローカル アカウントのパスワードの有効期限を短縮する場合は、SDDC Manager を使用してアカウントのパスワードをローテーションします。パスワードのローテーションを参照してください。
パスワードの有効期限は、最後のパスワード変更日にパスワードの有効期限を追加することによって決定されます。最後のパスワード変更からの時間が新しい有効期限よりも長い場合、パスワードはすぐに期限切れになります。
ユーザー インターフェイスの手順
- ワークロード ドメインの vCenter Server インスタンス (https://<vcenter_server-fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- ホストおよびクラスタインベントリで、最初の vSphere クラスタに移動して展開します。
- 最初の ESXi ホストを選択し、設定タブをクリックします。
- システムセクションで、システムの詳細設定をクリックします。
- システムの詳細設定画面で、編集をクリックします。
- キー フィルタ テキスト ボックスに「Security.PasswordMaxDays」と入力し、組織の要件に応じて設定の値を入力して、OKをクリックします。
- クラスタの残りのホストでこの手順を繰り返します。
- ワークロード ドメインのすべての残りのクラスタでこの手順を繰り返します。
- 残りのワークロード ドメインにあるすべてのクラスタでこの手順を繰り返します。
PowerShell の手順
- PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $cluster = "sfo-m01-cl01" $maxDays = "99999"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-EsxiPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -cluster $cluster -maxDays $maxDays
- $sddcDomainNameワークロード ドメインにある残りのすべてのクラスタでこの手順を繰り返します。
- 残りのワークロード ドメインにあるすべてのクラスタでこの手順を繰り返します。
vCenter Single Sign-On のパスワード有効期限ポリシーの構成
の
vsphere.local
ドメイン内のユーザー アカウントのパスワードが期限切れになり、変更が強制されるまでの間隔を定義します。パスワード有効期限ポリシーは、vCenter Single Sign-On の組み込み ID プロバイダの
vsphere.local
ドメイン内のユーザー アカウントにのみ適用されます。このポリシーは、ローカル システム アカウントおよび administrator@vsphere.local
には適用されません。SDDC Manager は、vCenter Single Sign-On の組み込み ID プロバイダ内に専用サービス アカウントを作成します。パスワード有効期限ポリシーを変更すると、これらのサービス アカウントにも影響します。
設定 |
デフォルト値 |
|---|---|
最長有効期間 |
90 |
ユーザー インターフェイスの手順
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- vSphere Client メニューから、管理を選択します。
- シングル サインオンセクションで、構成をクリックします。
- 構成ページで、ローカル アカウントタブをクリックします。
- パスワード ポリシーセクションで、編集をクリックします。
- 組織の要件に応じて最長有効期間設定の値を入力し、保存をクリックします。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-SsoPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays
vCenter Server のグローバル パスワード有効期限ポリシーの構成
の vCenter Server アプライアンスのローカル ユーザー アカウントのパスワードが期限切れになり、変更が強制されるまでの間隔をグローバルに定義します。
設定 |
デフォルト値 |
|---|---|
パスワード変更までの最大日数 |
90 |
パスワード変更までの最小日数 |
0 |
パスワードの有効期限が切れるまでの警告の日数 |
7 |
vCenter Server のグローバル パスワード有効期限ポリシーは、API を使用してのみ構成できます。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90" $minDays = "0" $warningDays = "7"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-VcenterPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxDays $maxDays -minDays $minDays -warnDays $warningDays
- すべての VI ワークロード ドメインでこの手順を繰り返します。
vCenter Server の root ユーザー パスワード有効期限ポリシーの構成
の vCenter Server アプライアンスの
root
アカウントのパスワードが期限切れになり、変更が強制されるまでの間隔を定義します。設定 |
デフォルト値 |
|---|---|
パスワードの有効期間(日数) |
90 |
期限切れ警告の電子メール |
- |
パスワードの有効期限が切れるまでの警告の日数 |
7 |
前提条件
vSphere Client の
構成
タブの 全般
で E メール送信アカウントを使用してターゲット vCenter Server インスタンスを構成します。 ユーザー インターフェイスの手順
- vCenter Server 管理インターフェイス (https://<vcenter_server_fqdn>:5480) にrootとしてログインします。
- ナビゲーション ペインで、管理をクリックします。
- パスワード有効期限の設定セクションで編集をクリックします。
- 組織の要件に従って設定を構成し、保存をクリックします。
- SSH を使用して vCenter Server アプライアンス コンソールにrootとしてログインします。
- シェル アクセスを有効にします。shell
- 次のコマンドを使用して、パスワードの有効期限が切れるまでの警告日数の値を変更します。chage --warndays <your_value> root
- すべての VI ワークロード ドメインでこの手順を繰り返します。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $email = "admin@rainpole.io" $maxDays = "90" $warningDays = "7"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-VcenterRootPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -email $email -maxDays $maxDays -warnDays $warningdays
- すべての VI ワークロード ドメインでこの手順を繰り返します。
NSX Manager のローカル ユーザー パスワード有効期限ポリシーの構成
の NSX Manager ローカル ユーザーのパスワード有効期限ポリシーを構成します。ユーザー単位で組み込みの NSX アカウントのポリシーを構成します。
ユーザー |
設定 |
デフォルト値 |
|---|---|---|
root |
パスワード変更までの最大日数 |
90 |
admin |
パスワード変更までの最大日数 |
90 |
audit |
パスワード変更までの最大日数 |
90 |
guestuser1 |
パスワード変更までの最大日数 |
90 |
guestuser2 |
パスワード変更までの最大日数 |
90 |
ユーザー インターフェイスの手順
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- 仮想マシンおよびテンプレートインベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
- 管理ドメインの NSX Manager クラスタを含む仮想マシン フォルダを展開します。
- NSX Manager クラスタの最初のノードを選択し、Web コンソールの起動をクリックします。
- NSX Manager ノードにadminとしてログインします。
- 次のコマンドを使用して、パスワード変更までの最大日数を変更します。set user root password-expiration <your_value>変更は、NSX Manager クラスタ内の他のノードにレプリケートされます。
- 残りのローカル アカウントでこの手順を繰り返します。
- すべての VI ワークロード ドメインの NSX ローカル マネージャ クラスタでこの手順を繰り返します。
- すべての NSX グローバル マネージャ クラスタでこの手順を繰り返します。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-NsxtManagerPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays
- すべての VI ワークロード ドメインの NSX ローカル マネージャ クラスタでこの手順を繰り返します。
- 各クラスタの最初のノードのアプライアンス コンソールで、すべての NSX グローバル マネージャ クラスタのパスワード有効期限ポリシーを手動で構成します。
NSX Edge のローカル ユーザー パスワード有効期限ポリシーの構成
の NSX Edge ローカル ユーザーのパスワード有効期限を構成します。組み込みの NSX アカウントに対してユーザー単位で構成します。
ユーザー |
設定 |
デフォルト値 |
|---|---|---|
root |
パスワード変更までの最大日数 |
90 |
admin |
パスワード変更までの最大日数 |
90 |
audit |
パスワード変更までの最大日数 |
90 |
guestuser1 |
パスワード変更までの最大日数 |
90 |
guestuser2 |
パスワード変更までの最大日数 |
90 |
ユーザー インターフェイスの手順
- NSX Edge 仮想アプライアンスを構成する場合は、vSphere Client の Web コンソールを使用してアプライアンス コンソールを開きます。
- 管理ドメインの vCenter Server (https://<management_vcenter_server_fqdn>/ui) に管理者権限を持つアカウントを使用してログインします。
- 仮想マシンおよびテンプレートインベントリで、管理ドメインの vCenter Server ツリーを展開し、管理ドメイン データセンターを展開します。
- 管理ドメインの NSX Edge クラスタを含む仮想マシン フォルダを展開します。
- NSX Edge クラスタの最初のノードを選択し、Web コンソールの起動をクリックします。
- ベアメタル NSX Edge アプライアンスを構成する場合は、iLO や iDRAC などのアウトオブバンド管理インターフェイスを使用してアプライアンス コンソールを開きます。
- NSX Edge ノードにadminとしてログインします。
- 次のコマンドを使用して、パスワード変更までの最大日数を変更します。set user root password-expiration <your_value>
- 残りのローカル アカウントでこの手順を繰り返します。
- 管理ドメインのクラスタ内の残りの NSX Edge ノードでこの手順を繰り返します。
- VI ワークロード ドメインのすべての NSX Edge クラスタでこの手順を繰り返します。
PowerShell の手順
PowerShell コマンドを使用してパスワード有効期限ポリシーを構成できるのは、SDDC Manager を使用して展開された の NSX Edge ノードのみです。手動で展開された NSX Edge 仮想アプライアンス、ベアメタル NSX Edge アプライアンスの場合は、
NSX-T Data Center のドキュメント
に従ってポリシーを手動で構成します。- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" $sddcDomainName = "sfo-m01" $maxDays = "90"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-NsxtEdgePasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -maxdays $maxDays
- VI ワークロード ドメインの NSX Edge クラスタでこの手順を繰り返します。
SDDC Manager のローカル ユーザー パスワード有効期限ポリシーの構成
ユーザー単位で SDDC Manager のローカル ユーザーのパスワード有効期限を構成します。
ユーザー |
設定 |
デフォルト値 |
|---|---|---|
root |
パスワード変更までの最大日数 |
90 |
パスワード変更までの最小日数 |
0 |
|
パスワードの有効期限が切れるまでの警告の日数 |
7 |
|
vcf |
パスワード変更までの最大日数 |
90 |
パスワード変更までの最小日数 |
0 |
|
パスワードの有効期限が切れるまでの警告の日数 |
7 |
|
backup |
パスワード変更までの最大日数 |
90 |
パスワード変更までの最小日数 |
0 |
|
パスワードの有効期限が切れるまでの警告の日数 |
7 |
ユーザー インターフェイスの手順
- SSH を使用して SDDC Manager アプライアンスにvcfとしてログインします。
- rootユーザーに変更します。su -
- 次のコマンドを使用して、パスワード変更までの最大日数を変更します。chage --maxdays <your_value> root
- 次のコマンドを使用して、パスワード変更までの最小日数を変更します。chage --mindays <your_value> root
- 次のコマンドを使用して、パスワードの有効期限が切れるまでの警告日数を変更します。chage --warndays <your_value> root
- 残りのローカル アカウントでこの手順を繰り返します。
PowerShell の手順
- Windows PowerShell を起動します。
- サンプル コードの値を置き換え、PowerShell コンソールでコマンドを実行します。$sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" $sddcManagerUser = "administrator@vsphere.local" $sddcManagerPass = "VMw@re1!" # Replace with the name of your management domain $sddcDomainName = "sfo-m01" $vmName = "sfo-vcf01" $guestuser = "root" $guestPassword = "VMw@re1!” $localUsers = @("root","vcf","backup") $maxDays = "90" $minDays = "0" $warningDays = "7"
- PowerShell コンソールでコマンドを実行して、構成を実行します。Update-LocalUserPasswordExpiration -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $sddcDomainName -vmName $vmName -guestUser $guestUser -guestPassword $guestPassword -localUser $localUsers -minDays $minDays -maxDays $maxDays -warnDays $warningDays