Bugünkü yazımda VMWare vSphere‘de parola politikalarının nasıl yönetileceğini, yerel ve etki alanı vSphere kullanıcıları için parola sona erme bildiriminin göründüğü zamanın nasıl değiştirileceğini ve bazı kullanıcılar için parola ayarlarının hiç bitmeyecek şekilde ayarlanmasını anlatacağım.
Resim-1
VMWare Single Sign On (SSO) Password – Lockout Policy
Local User administrator@vcenter.local için parola süresinin dolmasını devre dışı bırakabilirsiniz. Çünkü hiç kimse bu yerel hesap altında kalıcı olarak çalışmıyor ve vSphere yöneticileri, Active Directory domain hesapları altında authenticate doğrulaması yapıyor.
Varsayılan olarak, SSO politikası, her 90 günde bir kullanıcı parolasının değiştirilmesini gerektiren vSphere yerel kullanıcıları için uygulanır. SSO parola ilkesi ayarlarını vSphere Client’ın aşağıdaki bölümünde bulabilirsiniz; Administration > Single Sign On > Configuration.
Parola Politikası sekmesinde görebileceğiniz gibi, tüm yerel vCSA kullanıcılarının parolalarına aşağıdaki gereksinimler uygulanmaktadır.
Minimum şifre uzunluğu 8 karakterdir (maksimum – 20 karakter);
Bir parola 90 gün içinde sona erer (maksimum kullanım ömrü);
Son 5 şifrenin tekrar kullanılmasına izin verilmez;
Bazı parola karmaşıklığı kısıtlamaları bulunmaktadır.
Edit’e tıklayın ve ilke ayarlarını değiştirin. Örneğin, değiştirebileceğiniz Maksimum lifetime için 365, yılda bir kez şifrelerini değiştirmek zorunda olduğu anlamına gelmektedir, 0 ise şifre dolup dolmadığını anlamına gelir.
Resim-2
vCSA Kullanıcıları için Parola Süre Sonu Ayarlarını Asla Süresi Bitmeyecek Olarak Değiştirebilirsiniz. Tüm vCenter kullanıcıları için parola politikanızı değiştirmek istemiyorsanız, belirli bir kullanıcı için parola politikasını ve süre sonu ayarlarını değiştirebilirsiniz. Örneğin, local backup_user parolasını hiçbir zaman sona ermeyecek şekilde ayarlamak istiyorsunuz. Bunu yapmak için, SSH istemcisini kullanarak vCSA sunucunuza bağlanmanız gerekiyor.
SSH enable hale getirmek için vCSA(https://vcenter_name:5480/) > Access > SSH login > Enabled duruma getirebilirsiniz.
cd /usr/lib/vmware-vmafd/bin/
./dir-cli user find-by-name --account backup_user
Enter password for administrator@vcenter.local: Account: backup_user UPN: backup_user@VCENTER.LOCAL/
./dir-cli password reset --account backup_user --password OldBackupP@$$ --new NewBackupP@$$
./dir-cli user modify --account backup_user --password-never-expires
Burada backup_user kullanıcısını parola süresini asla sona ermeyecek şekilde ayarlamış olduk.
vCenter VCSA Root Password Expiration
vCenter Server Appliance’ı kurduğunuzda, root kullanıcısı için parola süresi 90 gün olarak ayarlanır. Yani root ayrıca parolanın sona erme politikasına da tabidir. vCSA Appliance Management giriş yaptıktan sonra Administration > Password expiration settings tıklayalım.
Şifrenin süresi doluyor: Evet
Şifre geçerliliği (gün): 90
Şifrenin geçerlilik süresi: 01 Mart 2022, 02:00:00
Resim-3
Süre sonu ayarları değiştirebilir veya asla sona ermeyecek şekilde yapılandırabilirsiniz.
chage -l root
Resim-4
Son şifre değişikliği : 02 Aralık 2021 Şifre süresi doluyor : 02 Mart 2021 Şifre etkin değil : asla Hesabın süresi dolar : asla Şifre değişikliği arasındaki minimum gün sayısı : 0 Şifre değişikliği arasındaki maksimum gün sayısı : 90 Şifrenin süresi dolmadan önceki uyarı gün sayısı : 7
vCSA konsoldaki parolayı aşağıdaki komut ile değiştirebilirsiniz.
passwd
VMWare vCenter’da Parola Süre Sonu Bildirim Ayarlarını Değiştirme
Varsayılan olarak, bir vCenter İstemcisinde süresi dolan bir parola bildirimi, süresi dolmadan 30 gün önce görünmeye başlar.
Kullanıcılar, AD hesaplarını kullanarak vCenter’da authenticate doğrulaması yaparsa, kullanıcı parolaları için etki alanı parola ilkesi uygulanır. Kullanıcı, süresi dolmadan 30 gün önce parolasını değiştirmesini isteyen bir bildirim görecektir. Bu nedenle, etki alanı politikanız 30 günde bir parola değişikliğini zorunlu kılarsa, VMWare vCenter kullanıcıları sürekli olarak can sıkıcı bir uyarı görmüş olur.
Your password will expire
vCSA’da, bir kullanıcının bu bildirimi parolanın süresi dolmadan kaç gün önce göreceğini yapılandırabilirsiniz.
/etc/vmware/vsphere-ui/webclient.properties
“sso.pending.password.expiration.notification.days parameter”
Değerini 7 olarak değiştirelim. Bu, parola sona erme bildiriminin, gerçekleşmeden 7 gün önce görüneceği anlamına gelmektedir. Ardından vSphere istemcimizi yeniden başlatalım.
service-control --stop vsphere-client
service-control --start vsphere-client
Eski Web İstemcisini (Flex) kullanıyorsanız bu konutu çalıştırmanız gerekecektir.
/etc/vmware/vsphere-client/webclient.properties
service-control --stop vsphere-client
service-control --start vsphere-client