以前も紹介したVCSA6の仮想アプライアンスのrootのパスワードの無期限への変更手順について、今回はロックアウトの件も合わせて記載します。
VCSA6.xをデプロイした後、仮想アプライアンス、WEBの管理画面にログインする場合は、rootのパスワードの有効期限は365日になっています。最近のセキュリティレベルの強化から、むしろ短くする企業もあるかもしれませんが、今回は、無期限にする設定について。
参考元はVMwareの公式サイトです。
root ユーザーのパスワードの変更
vCenter Server Appliance のデフォルトの root パスワードは、仮想アプライアンスのデプロイ中に入力するパスワードです。
重要:
vCenter Server Appliance の root アカウントのパスワードは、365 日後に期限が切れます。vCenter Server Appliance の Bash シェルに root としてログインし、chage -M number_of_days -W warning_until_expiration user_name を実行することによって、アカウントの有効期限を変更できます。root パスワードの有効期限を無限に延長するには、chage -M -1 -E -1 root コマンドを実行します。
【手順】
1 vSphere Web Client または VMware Host Client インベントリの vCenter Server Appliance を参照します。
2 vCenter Server Appliance コンソールを開きます。
3 vSphere Web Client から、サマリ タブの コンソールの起動 をクリックします。
VMware Host Client から、コンソール をクリックし、ドロップダウン メニューからオプションを選択します。
4 コンソール ウィンドウの内部をクリックし、F2 を押して、システムをカスタマイズします。
5 ダイレクト コンソール ユーザー インターフェイスにログインするには、root ユーザーの現在のパスワードを入力して、Enter を押します。
6 ルート パスワードの構成 を選択して、Enter を押します。
7 root ユーザーの旧パスワードを入力して、Enter を押します。
8 新しいパスワードを設定して、Enter を押します。
>chage -l root
続いて、rootアカウントのロックアウト初期設定についてですが、デフォルトは、3回パスワード間違えで5分間ログイン不可となるようになっているそうです。
ダイレクト コンソール ユーザー インターフェイスへのログイン
以下の一文です。
重要:無効な認証情報を 3 回入力すると、root アカウントが 5 分間ロックされます。
そして、設定自体は、仮想アプライアンスにログインして、以下の設定ファイルを確認すると現状の設定をチェックできます。
# cat /etc/pam.d/system-auth
ここでrootのアカウントも含めて3回パスワードを間違えたら、5分間(600秒)ロックアウトされることが分かります。仮想アプライアンスのrootのパスワード周りの設計を考えている場合は参考にしてみてください。