VMWare vSphere：管理密码过期设置

我有时会在 vSphere Client 界面中看到以下通知：

Your password will expire in xx days

。我决定学习如何在 VMWare vSphere 中管理密码策略，如何更改本地和域 vSphere 用户出现密码过期通知的时间，以及如何将某些用户的密码设置设置为永不过期。这是我发现的。

VMWare 单点登录 (SSO) 的密码和锁定策略

就我而言，我决定禁用本地用户[email protected]的密码过期（因为没有人永久在此本地帐户下工作，并且vSphere管理员在其Active Directory域帐户下进行身份验证）。

默认情况下，SSO 策略应用于 vSphere 本地用户，这要求每 90 天更改一次用户密码。

您可以在 vSphere Client 的以下部分找到 SSO 密码策略设置：管理 -> 单点登录 -> 配置。

正如您在“密码策略”选项卡上看到的，以下要求适用于所有本地 vCSA 用户的密码：

• 密码长度最小为 8 个字符（最多 20 个字符）；

• 密码将在 90 天后过期（最长有效期）；

• 最近5次密码不允许重复使用；

• 一些密码复杂性限制。

单击编辑并更改策略设置。例如，您可以将最长寿命更改为365（这意味着您必须每年更改一次密码）或在此处输入0（意味着密码不会过期）。

将本地 VMWare vCSA 用户的密码过期设置更改为永不过期

如果您不想更改所有 vCenter 用户的密码策略，您可以更改特定用户的密码策略和过期设置。例如，您希望将本地 backup_user 的密码设置为永不过期。为此，请使用 SSH 客户端连接到您的 vCSA 主机。

在设备管理的访问 -> SSH 登录 -> 启用部分中启用对 vCSA 的 SSH 访问（

https://your_vcenter_name:5480/ui/access

）。

您将需要dir-cli工具，该工具位于/usr/lib/vmware-vmafd/bin/。

cd /usr/lib/vmware-vmafd/bin/

检查本地用户是否存在：

./dir-cli user find-by-name --account backup_user

Enter password for [email protected]:
Account: backup_user
UPN: [email protected]/

您可以更改该用户的密码：

./dir-cli password reset --account backup_user --password OldBackupP@$$ --new NewBackupP@$$

或者您可以将密码设置为永不过期：

./dir-cli user modify --account backup_user --password-never-expires

Enter password for [email protected]:
Password set to never expire for [backup_user]

vCenter VCSA 上的 Root 密码过期

安装 vCenter Server Appliance 时，root 用户的密码生命周期设置为 365 天（vCenter 6.5 或更低版本）或 90 天（vSphere 6.7）。因此 root 也受到密码过期政策的约束。

您可以在 vCSA 设备管理 (

https://your_vcenter_name:5480/ui/access

）。转到管理部分并检查“密码过期设置”部分中的值。

• 密码过期：是

• 密码有效期（天）：90

• 密码过期时间：2020 年 6 月 13 日凌晨 2:00:00

您可以更改 root 的密码过期设置或将其设置为永不过期（如果其值为 0）。

您还可以从 vCSA 控制台检查 root 密码过期设置：

chage -l root

Last password change : Mar 15, 2019
Password expires : Jun 20, 2019
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 90
Number of days of warning before password expires : 7

有趣的是，vCSA 设备管理界面不会提示 root 更改密码或显示任何密码过期警告。

但是，如果您尝试升级 vCenter Server Appliance，您可能会遇到以下错误消息：

Appliance (OS) root password is expired or is going to expire soon. Please change the root password before installing an update.

或者，当尝试在 vCSA Appliance Management 中更改过期的 root 密码时，可能会出现警告：

Permission Denied. Set the maximum number of days when the password will expire. Administrator configuration updated successfully.

在这种情况下，您必须使用以下命令在 vCSA 控制台中更改 root 密码：

passwd

更改 VMWare vCenter 上的密码过期通知设置

默认情况下，vCenter Client 中会在密码过期前 30 天开始显示密码过期通知。

如果用户使用其 AD 帐户在 vCenter 中进行身份验证，则域密码策略将应用于用户密码。用户将在密码过期前 30 天看到一条通知，提示他们更改密码。因此，如果您的域策略强制每 30 天更改一次密码，VMWare vCenter 用户会不断看到恼人的警告

Your password will expire

。

在 vCSA 中，您可以配置用户在密码过期前多少天会看到此通知。

如果您使用 vSphere HTML5 客户端，则在 vCenter Server Appliance 服务器上的配置文件中指定此设置：

/etc/vmware/vsphere-ui/webclient.properties

。

打开文件并找到 sso.pending.password.expiration.notification.days 参数。

将其值更改为 7。这意味着密码到期通知将在发生前 7 天出现。然后重新启动 vSphere 客户端：

service-control --stop vsphere-ui
service-control --start vsphere-ui

如果您使用的是旧版 Web 客户端 (Flex)，则必须更改 sso.pending.password.expiration.notification.days 参数的值

/etc/vmware/vsphere-client/webclient.properties

文件。

编辑设置后，重新启动 Web 客户端服务：

service-control --stop vsphere-client
service-control --start vsphere-client