概要
vSphere 6.0のESXi、vCenter等のアカウントのパスワード要件をまとめます。
詳細
vSphere 6.0のパスワード関連事項は、「vSphere セキュリティ ESXi 6.0 Update 1/vCenter Server 6.0 update1」(以下vSphereセキュリティガイド)の「vSphere環境のパスワード(p.13)」に、各コンポーネント(ESXi、vCenter、etc.)ごとの詳細記述ページへのリンクがまとめられています。
ESXiには、ローカルのアカウントがあります。vCenterには、以下の3種類のアカウントがあります。
- vCenter Single Sign-On(以下vCenter SSO)のアカウント
- vCenterの通常のアカウント(=SSOで認証されるWindowsのローカルアカウントや、外部のADのアカウント)
- vCenter Server Appliance(以下vCSA)を使用している場合、vCSA(のLinux)のアカウント
ESXiアカウント、vCenter SSOアカウント、vCSAアカウントについて、パスワード要件の記載箇所と要件を以下にまとめます。vCenterの通常アカウントは、使用されるWindowsアカウント、ADアカウント等の制限がそのまま適用されますので、ここでは触れません。
パスワード要件
ESXiアカウント
パスワード要件は、vSphereセキュリティガイドの「ESXiのパスワード、ESXiのパスフレーズ、およびアカウントロックアウト (P. 137)」に記載されています。以下に簡単にまとめます。
- パスワードには、英大文字、英子文字、数字、特殊文字(アンダースコアやダッシュなど)の4種の文字クラスを組合わせます。
- 7文字のパスワードでは、上記4種をすべて含めます。
- 8文字以上のパスワードでは、上記のうち3種類以上を含めます。
また以下の制限があります。
- パスワードの先頭の大文字は、使用されている文字クラスとしては数えられません。
- パスワードの末尾の数字は、使用されている文字クラスとしては数えられません。
- パスワードには、辞書に載っている単語または辞書に載っている単語の一部を含めることはできません。
パスワードに含められない語は、KB:1012033から「admin」「root」「administrator」だと思われます。
vCenter Single Sign-Onアカウント
パスワード要件は、vSphereセキュリティガイドの「vCenter Single Sign-Onのパスワードポリシーの編集 (P. 36)」に説明されている、パスワードポリシーに従うことになります。
所期のパスワードポリシーについては記載を見つけられませんでしたが、以下に指定できるパスワードポリシー項目と、実機で確認したデフォルト値を簡単にまとめます。
- 最長有効期間。デフォルトでは90日でした。vSphere SSOドメインの
administrator以外のアカウントに適用されます。 - 最大文字数。デフォルトでは20文字でした。
- 最小文字数。デフォルトでは5文字でした。
- 特殊文字(
&、#、%など)。デフォルトでは1文字以上でした。 - アルファベット(
A、b、c、Dなど)。デフォルトでは2文字以上でした。 - 大文字(
A、B、Cなど)。デフォルトでは1文字以上でした。 - 小文字(
a、b、cなど)。デフォルトでは1文字以上でした。 - 数字(
1、2、3など)。デフォルトでは1文字以上でした。 - 隣接した同一文字。デフォルトでは3文字以内でした。
これをまとめると、デフォルトのパスワードポリシーは以下になります。
- 5文字以上20文字以内。
- 英大文字、英小文字、数字、特殊文字をすべて含む。
- 隣接する同一文字は3文字まで。
なお、管理者アカウントであるadministratorに対しては、最長有効期間は適用されません。
vCenter Server Applianceアカウント
vCSAのLinuxアカウントについては、「vCenter Server Appliance の構成 vSphere 6.0 Update 1」を参照します。ただし私の探せた範囲では、「rootユーザーのパスワードおよびパスワード有効期限の設定の変更(p.13)」に、以下の記述があるにとどまります。
vCenter Server Applianceをデプロイする際に設定するrootユーザーの初期パスワードは、デフォルトでは365日後に期限が切れます。セキュリティ上の理由により、パスワード有効期限設定とともにrootパスワードを変更できます。
パスワード要件の変更
ESXiのパスワード要件の変更
ESXiでは、パスワードの管理および制御にLinux PAMモジュールpam_passwdqc が使用されています。これに準じたパラメータ指定で、パスワード要件の変更や、パスフレーズの有効化を指定することができます。
KB 1012033によれば、ESXi5.xまでは/etc/pam.d/passwdファイルでこれらのパラメータを指定しました。vSphereセキュリティガイドの「ESXiのパスフレーズ(p.138)」によれば、vSphere 6以降ではESXiホスト用の詳細オプションSecurity.PasswordQualityControlでの指定に変わります。
パスワードの代わりに、パスフレーズを使用することもできますが、パスフレーズはデフォルトで無効になっています。このデフォルト設定やその他の設定を変更するには、vSphere Web ClientからESXiホスト用の詳細オプションSecurity.PasswordQualityControl を使用します。
/etc/pam.d/passwdファイルでの指定もまだ可能ですが、将来のバージョンで廃止されます。
/etc/pamd/passwdファイルに対する変更の実施は、依然としてレガシーホストでサポートされていますが、将来のリリースでは廃止されます。
vCenter SSOのパスワード要件の変更
vCenter Single Sign-Onのパスワード要件の変更方法は、vSphereセキュリティガイドの「vCenter Single Sign-On のパスワード ポリシーの編集 (P. 36)」に記載されています。
参考
- vSphere セキュリティ ESXi 6.0 Update 1/vCenter Server 6.0 update1
- vCenter Server Appliance の構成 vSphere 6.0 Update 1
- VMware KB: ESX and ESXi 4.x or higher requirements and restrictions(1012033)(参考日本語訳:KB 2079822)
本投稿内容も、本文中に説明しているように、上記参考先の情報に基づいて作成しました。正確な情報が必要な場合には、必ずこれらの一次情報を確認してください。