ESXi 암호 복잡성 설정

vSphere 6 출시와 함께 VMware는 암호 정책을 시행하고 Esxi 호스트 및 SSO에서보다 복잡한 암호를 사용하도록 강요했습니다. Esxi 호스트는 DCUI, Esxi Shell, SSH 및 vSphere Web Client에서 직접 액세스하기위한 암호 요구 사항을 시행합니다.

ESXi는 pam_passwdqc.so 플러그인을 사용하여 비밀번호 정책 / 규칙을 설정합니다. ESXi는 루트 계정의 암호에 복잡한 제한을 두지 않습니다. 그러나 루트가 아닌 계정은 pam_passwdqc.so에 정의 된 기본 규칙의 적용을받습니다.

이전 버전의 vSphere에서 ESXi 호스트 암호 복잡도는 각 ESXi 호스트 에서 /etc/pam.d/passwd 파일을 편집하여 변경되었습니다 . vSphere 6.0 에서는 호스트 고급 시스템 설정에 Security.PasswordQualityControl 항목을 추가하여 수행 합니다.

Esxi 호스트의 암호를 만들 때 다음과 같은 복잡한 요구 사항이 포함되어야합니다.

• 암호는 적어도 세 문자 클래스의 문자를 포함해야합니다.
• 세 문자 클래스의 문자가 포함 된 암호는 적어도 7 자 이상이어야합니다.
• 네 개의 문자 클래스 모두의 문자가 포함 된 암호는 적어도 7 자 이상이어야합니다.
• 암호를 시작하는 대문자는 사용 된 문자 클래스 수에 포함되지 않습니다.
• 암호를 끝내는 숫자는 사용 된 문자 클래스의 수에 포함되지 않습니다.
• 암호는 사전 단어 또는 사전 단어의 일부를 포함 할 수 없습니다.

기본 필수 길이 및 문자 클래스 요구 사항을 변경하려면 웹 클라이언트를 통해 Esxi 호스트에서 Security.PasswordQualityControl 옵션을 수정해야합니다.

패스워드 정책 형식 retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny

기본 구성 ESXi 6은 다음과 같습니다. retry=3 min=disabled,disabled,disabled,7,7

첫 번째 세 개의 비활성화 된 항목에 표시된 것처럼 하나 또는 두 개의 문자 클래스와 패스 단계가있는 비밀번호는 허용되지 않습니다. 3 자 및 4 자 클래스의 비밀번호는 7자를 필요로합니다. 이것에 대한 더 많은 정보는 pam_passwdqc의 맨 페이지 에서 읽을 수 있습니다.

문자열을 이해하기 쉬운 형식으로 나눕니다.

retry=3 - 이 설정은 사용자가 처음으로 강력한 암호를 제공하지 못한 경우 Esx 호스트가 새 암호를 요청하는 횟수를 나타냅니다.

min=disabled - 이 설정은 다섯 가지 위치 매개 변수를 취하는데, 각 매개 변수는 서로 다른 종류의 암호 복잡성을 나타냅니다. 위치는 요구되는 복잡성의 수준을 반영하며 그 값은 필요한 길이를 반영합니다.

아래의 각 자리는 암호에 사용되는 문자 형태의 갯수입니다. 즉 N0은 소문자,대문자,숫자,특수문자 중 한가지로만 이루어진 암호를 의미하며 해당 자리의 숫자는 최소 암호 문자 갯수를 의미합니다. 숫자는 1~40까지 사용할 수 있습니다.

N0 는 한가지 클래스의 문자로 구성된 암호에 사용됩니다.
N1 은 두가지 클래스의 문자로 구성된 암호에 사용됩니다.
N2 는 암호 구로 사용됩니다. ESXi는 암호문에 세 단어가 필요합니다. 암호문의 각 단어는 8-40 자 여야합니다.
N3 및 N4 는 각각 3 자 및 4 자의 문자 클래스로 구성된 암호로 사용됩니다.
max=N 최대로 입력할 수 있는 암호의 길이 입니다. 기본값 max=40
passphrase=N 암호 최소 길이 입니다. 만약 이 값을 설정할 경우 N2를 disabled로 설정하지 않아야 합니다. 기본값 passphrase=3
similar=permit|deny 예전에 사용한 암호와 유사해도 되는지 설정하는 값입니다.

• https://communities.vmware.com/t5/ESXi-Discussions/ESXi-6-5-cannot-login-with-new-local-user/m-p/1854853#M181840