Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur requise et l’exigence de classes de caractères ou autoriser les phrases secrètes à l’aide de l’option avancée Security.PasswordQualityControl.
ESXi utilise le module Linux PAM pam_passwdqc pour la gestion et le contrôle des mots de passe. Pour plus d’informations, reportez-vous aux pages du manuel concernant pam_passwdqc.
Les exigences par défaut pour les mots de passe ESXi dépendent de la version. Vous pouvez vérifier et modifier les restrictions de mot de passe par défaut à l’aide de l’option avancée Security.PasswordQualityControl.
Mots de passe d’ESXi
ESXi exige un mot de passe pour un accès à partir de l’interface DCUI (Direct Console User Interface), d’ESXi Shell, de SSH ou de VMware Host Client.
-
Lorsque vous créez un mot de passe, vous devez inclure par défaut un mélange de quatre classes de caractères : lettres en minuscule, lettres en majuscule, chiffres et caractères spéciaux comme un trait de soulignement ou un tiret.
-
Par défaut, la longueur du mot de passe est supérieure à 7 et inférieure à 40.
-
Les mots de passe ne doivent pas contenir un mot du dictionnaire ou une partie d’un mot du dictionnaire.
Un caractère en majuscule au début d’un mot de passe ne compte pas dans le nombre de classes de caractères utilisées. Un chiffre à la fin d’un mot de passe ne compte pas dans le nombre de classes de caractères utilisées.
Exemple de mots de passe d’ESXi
Les candidats de mot de passe suivants illustrent les mots de passe possibles si l’option est définie de la manière suivante.
Avec ce paramètre, les mots de passe avec une ou deux classes de caractères et les phrases secrètes ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent sept caractères. Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
Avec ces paramètres, les mots de passe suivants sont autorisés.
-
xQaTEhb!: contient huit caractères provenant de trois classes de caractères.
-
xQaT3#A : contient sept caractères provenant de quatre classes de caractères.
Les candidats de mot de passe suivants ne répondent pas aux exigences.
-
Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
-
xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.
Phrase secrète ESXi
Vous pouvez également utiliser une phrase secrète à la place d’un mot de passe. Néanmoins, les phrases secrètes sont désactivées par défaut. Vous pouvez modifier cette valeur par défaut ou d’autres paramètres à l’aide de Security.PasswordQualityControl l’option avancée depuis vSphere Web Client.
Par exemple, vous pouvez remplacer l’option par la suivante.
Cet exemple autorise des phrases secrètes d’au moins 16 caractères et d’au moins 3 mots, séparés par des espaces.
Pour les hôtes hérités, la modification du fichier /etc/pamd/passwd est toujours autorisée, mais vous ne pourrez plus le modifier dans les futures versions. Utilisez plutôt l’option avancée Security.PasswordQualityControl.
Modification des restrictions de mot de passe par défaut
Vous pouvez modifier les restrictions par défaut des mots de passe ou des phrases secrètes en utilisant l’option avancée Security.PasswordQualityControl de votre hôte ESXi. Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d’informations sur la configuration des options avancées d’ESXi.
Vous pouvez modifier la valeur par défaut, par exemple, pour exiger un minimum de 15 caractères et un nombre minimal de quatre mots, comme suit :
Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.
Les combinaisons possibles des options de pam_passwdqc n’ont pas toutes été testées. Effectuez des tests supplémentaires après avoir modifié les paramètres du mot de passe par défaut.
Comportement de verrouillage de compte d’ESXi
À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l’accès via SSH et vSphere Web Services SDK. L’interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de dix tentatives de connexion échouées est autorisé avant le verrouillage du compte. Par défaut, le compte est déverrouillé au bout de deux minutes.
Configuration du comportement de connexion
Vous pouvez configurer le comportement de connexion de votre hôte ESXi à l’aide des options avancées suivantes :
-
Security.AccountLockFailures. Nombre maximal de tentatives de connexion échouées autorisées avant le verrouillage du compte de l’utilisateur. La valeur zéro désactive le verrouillage du compte.
-
Security.AccountUnlockTime. Nombre de secondes pendant lequel le compte d’un utilisateur est verrouillé.
Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d’informations sur la configuration des options avancées d’ESXi.