ESXi 6.7, ESXi 7.0 の単体環境で、テスト用のユーザを「test」で作成し、パスワードを「test.1234!」で設定しようとしたところエラーとなった。
「弱いパスワード: 個人ログイン情報に基づいています」
Create User
キー haTask-ha-folder-root-vim.host.LocalAccountManager.createUser-960490766
説明 ローカル ユーザー アカウントを作成します
フォルダ:
状態 失敗 - 一般的なシステム エラーが発生しました: Weak password: based on personal login information. *** passwd: Authentication token manipulation error
エラー 弱いパスワード: 個人ログイン情報に基づいています。
ただ、パスワードを「test.1234!a」と1文字付け加えるだけで設定は可能だった。
怪しい設定としては「VMware Host Client でのパスワードとアカウント ロックアウト ポリシーの構成」にある「Security.PasswordQualityControl」設定となる。
標準では「retry=3 min=disabled,disabled,disabled,7,7」となっている。
これを解釈すると
「retry=3」パスワード間違い3回まで許容
「min=disabled,disabled,disabled,7,7」 min=N0,N1,N2,N3,N4
N0: 1種類の文字だけの場合。disabledなので不許可
N1: 2種類の文字のパスワードの場合。disabledなので不許可
N2: パスフレーズの最小文字列。disabledなので不許可
N3: 3種類の文字のパスワードの場合。7文字以上必要
N4: 4種類の文字のパスワードの場合。7文字以上必要
ということになる。
なぜユーザtestの場合、「test.1234!」がダメなのか、と考えると、おそらく、testが文字種別としてカウント対象外となり「.1234!」のみで判断しているためではないだろうか?ということになる。
「.1234!」は数字と記号の2種類だけなので、disabledで不許可。
「.1234!a」は 数字と記号 と英語小文字の3種類あり、7文字以上なので許可。
では、2種類だけであっても通るようにすればいいのか、と 「retry=3 min=disabled,7,disabled,7,7」 と設定してみたところ、エラー・・・
Update User
キー haTask-ha-folder-root-vim.host.LocalAccountManager.updateUser-960491342
説明 ローカル ユーザー アカウントを更新します
フォルダ:
状態 失敗 - 一般的なシステム エラーが発生しました: pam_passwdqc: Error parsing parameter "min=disabled,7,disabled,7,7": Invalid parameter value. *** passwd: Critical error - immediate abort
エラー
「retry=3 min=7,7,7,7,7」 でもエラーになった・・・
しかし、なぜか「 retry=3 min=8,8,8,7,7」だとエラーとならずに、パスワード変更が完了した。
なぜ????
ちなみに、なぜ8で設定してみようと思ったかは「ESXi 6.5 & later Password policy」「ESXi 7 Password policy」で例としてあげられていたためなんですが、問題はこのページだと「disabled」は「8」に相当するって書いてあること。
ほんとにdisabled=8なんだろうか???「14」と設定できることを考えるとあやしいなぁ・・とは思っている。