致力于医疗信息化DBA一枚,欢迎交流学习 wechat:colalovescoffee
在默认情况下,自 vCenter Server Appliance 5.5 Update 1 开始,vCSA 5.5 版强制执行本地帐户(root)密码策略,该策略会导致root帐户密码会在90 天后过期。当密码到期后会将 root 帐户锁定。
将最长生命周期,设置为0,表示密码永不过期。
Vmware官方有针对该问题进行详细阐述,链接如下:
1.无法登录到 vCenter Server Appliance 的 root 帐户 (2069041) ——https://kb.vmware.com/s/article/2069041?lang=zh_CN
2.How to prevent forced lockout when the root account is still active (2147043)——https://kb.vmware.com/s/article/2147043?CoveoV2.CoveoLightningApex.getInitializationData=1&r=0&other.KM_Utility.getArticleDetails=1&other.KM_Utility.getArticleMetadata=1&other.KM_Utility.getUrl=1&other.KM_Utility.getUser=1&other.KM_Utility.getAllTranslatedLanguages=1&ui-comm-runtime-components-aura-components-siteforce-qb.Quarterback.validateRoute=1
问题延伸
vSphere 环境中的密码限制、密码过期和帐户锁定取决于用户的目标系统、用户身份以及策略设置。
那vSphere环境中究竟有哪些用户、有哪些密码?我们细细道来。
ESXi 密码
ESXi 密码限制由 Linux PAM 模块 pam_passwdqc 确定。请参见 Linux 手册页了解 pam_passwdqc 并参见 ESXi 密码和帐户锁定。
vCenter Server 及其他 vCenter 服务的密码
vCenter Single Sign-On 管理登录到 vCenter Server 及其他 vCenter 服务的所有用户的身份验证。密码限制、密码过期和帐户锁定取决于用户的域以及用户身份。
vCenter Single Sign-On 管理员
如果在安装期间选择了不同域,则 [email protected] 用户或 administrator@mydomain 用户的密码不会过期,并且不受锁定策略限制。在所有其他情况下,密码必须遵循 vCenter Single Sign-On 密码策略中设置的限制。有关详细信息,请参见《Platform Services Controller 管理》。
vCenter Single Sign-On 域的其他用户
其他 vsphere.local 用户的密码或安装期间指定域的用户的密码必须遵循 vCenter Single Sign-On 密码策略和锁定策略设置的限制。有关详细信息,请参见《Platform Services Controller 管理》。默认情况下,这些密码将在 90 天后过期。作为密码策略的一部分,管理员可以更改过期时间。
如果忘记 vsphere.local 密码,管理员用户可以使用 dir-cli 命令重置密码。
其他用户
所有其他用户的密码限制、密码过期和帐户锁定由用户对其进行身份验证的域(标识源)决定。
vCenter Single Sign-On 支持一个默认标识源。用户只能使用其用户名登录到具有 vSphere Client 的相应域。如果用户希望登录到非默认域,用户可以包括该域名,即,指定 user@domain 或 domain\user。域密码参数适用于每个域。
vCenter Server Appliance 直接控制台用户界面用户的密码
vCenter Server Appliance 是基于 Linux 的预配置虚拟机,针对在 Linux 上运行 vCenter Server 及关联服务进行了优化。
部署 vCenter Server Appliance 时,指定这些密码。
-
设备 Linux 操作系统的 root 用户的密码。
-
vCenter Single Sign-On 域管理员(默认为 [email protected])的密码。
可以从设备控制台更改 root 用户密码并执行其他 vCenter Server Appliance 本地用户管理任务。请参见vCenter Server Appliance 配置。