Когда истечет срок действия пароля администратора NSX-T вы увидите это в следующих компонентах:
- NSX-T Manager (WEB UI + SSH)
- NSX-T Edge Node VMs
Что бы посмотреть сколько времени осталось до истечения срока действия пароля, введите команду:
nsx-manager> get user admin password-expiration
Password expires 90 days after last change
Срок действия пароля истекает через 90 дней после последнего изменения
Ниже приведены журналы NSX Manager, показывающие время истечения срока действия паролей:
Пример Auth.log
<87>1 2019-06-11T05:47:33.495576+00:00 nsxmgrT-A2 sshd 7437 - - pam_unix(sshd:account): password for user admin will expire in 1 days
<87>1 2019-06-11T05:48:01.614870+00:00 nsxmgrT-A2 CRON 7771 - - pam_unix(cron:account): password for user root will expire in 1 days
Вы увидите следующие сообщения в Edge VM при подключении по SSH:
The authenticity of host 'x.x.x.x (x.x.x.x)' can't be established.
ECDSA key fingerprint is SHA256:bM/iVNFNJ9SHFKmfjdWzbfWJiwgXHBB2U4.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'x.x.x.x' (ECDSA) to the list of known hosts.
admin@x.x.x.x's password:
You are required to change your password immediately (password aged)
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for admin.
(current) UNIX password:
New password:
Retype new password:
Если вы используете Enterprise PKS с NSX-T, вы не сможете создавать новые кластеры PKS, а в журнале Bosh будут сообщения о невозможности создать кластер PKS подобные этому:
Task 724 | 10:05:52 | Preparing deployment: Preparing deployment (00:00:36)
Task 724 | 10:06:08 | Preparing package compilation: Finding packages to compile (00:00:00)
Task 724 | 10:06:08 | Compiling packages: nsx-cni/26cdfdb5b844958f7247dc981925693c965353e6
Task 724 | 10:06:08 | Compiling packages: openvswitch/a88c3d7c14994a1aec0ce49e4eccb92b1b7e08ee
Task 724 | 10:06:08 | Compiling packages: ncp_rootfs/da9eb7910f5777dc862841985ced01e18201e9b4
Task 724 | 10:09:16 | Compiling packages: nsx-cni/26cdfdb5b844958f7247dc981925693c965353e6 (00:03:08)
L Error: Unknown CPI error 'Unknown' with message 'The credentials were incorrect or the account specified has been locked.' in 'set_vm_metadata' CPI method (CPI request ID: 'cpi-873816')
Task 724 | 10:09:20 | Compiling packages: ncp_rootfs/da9eb7910f5777dc862841985ced01e18201e9b4 (00:03:12)
L Error: Unknown CPI error 'Unknown' with message 'The credentials were incorrect or the account specified has been locked.' in 'set_vm_metadata' CPI method (CPI request ID: 'cpi-718377')
Task 724 | 10:09:21 | Compiling packages: openvswitch/a88c3d7c14994a1aec0ce49e4eccb92b1b7e08ee (00:03:13)
L Error: Unknown CPI error 'Unknown' with message 'The credentials were incorrect or the account specified has been locked.' in 'set_vm_metadata' CPI method (CPI request ID: 'cpi-459103')
Task 724 | 10:09:21 | Error: Unknown CPI error 'Unknown' with message 'The credentials were incorrect or the account specified has been locked.' in 'set_vm_metadata' CPI method (CPI request ID: 'cpi-873816')
Причина
Срок действия пароля (по умолчанию 90 дней) был введен в NSX-T 2.4.0 в связи с требованиями безопасности. По умолчанию срок действия пароля установлен на 90 дней.
Начиная с версии 2.4.0 политика паролей улучшилась: введена минимальная длина пароля в 12 символов для паролей по умолчанию. А также возможность устанавливать время истечения срока действия пароля и возможность генерировать сигналы тревоги, когда срок действия пароля истекает. Для получения более подробной информации обратитесь к описанию версии
Последствия / Риски
- По истечении срока действия пароля вы не сможете войти в систему и управлять компонентами NSX-T.
- Кроме того, любая команда или вызов API, для выполнения которого требуется пароль администратора NSX-T, не будет выполнена.
- Вы можете не увидеть в пользовательском интерфейсе никаких предупреждений о том, что ваш пароль истекает или уже истек.
- Возможно, вы не сможете создать новые кластеры в корпоративной системе PKS.
Решение
Если срок действия пароля NSX Manager уже истек, вы можете восстановить его, выполнив следующую команду из nsxcli:
set user <username> [password <password> [old-password <old-password>]]
Из nsxcli можно запустить следующую команду, чтобы срок действия пароля увеличить до максимум 9999 дней. Пример ниже:
nsxtmgr> set user admin password-expiration
<password-expiration> Number of days password valid after change (1 - 9999)
nsxtmgr> set user admin password-expiration 9999
Вы также можете отключить истечение срока действия пароля через CLI, используя приведенный ниже пример:
nsxtmgr> clear user audit password-expiration
Пожалуйста, обратитесь к
Кроме того, используя API, в разделе NodeUserProperties можно настроить время истечения срока действия или отключить его. ("установить 0, чтобы не менять пароль").
Пожалуйста, обратитесь к
Дополнительная информация
Начиная с версии 2.4.0 изменена политика паролей: минимальная длина пароля 12 символов. Возможность устанавливать время истечения срока действия пароля и генерировать сигналы тревоги, когда срок действия пароля истекает.
Запрос характеристик
Что бы узнать о новых функциях продуктов VMware, пожалуйста, свяжитесь с вашим представителем.