Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Kapitel 14 Sicherheit der Servicekonsole<br />
Verwenden des Authentifizierungs-Plug-Ins „pam_cracklib.so“<br />
Das Standardauthentifizierungs-Plug-In <strong>für</strong> <strong>ESX</strong> ist pam_passwdqc.so. Es sorgt in den meisten Umgebungen<br />
<strong>für</strong> eine strenge Einhaltung der Kennwortqualität. Wenn das Plug-In <strong>für</strong> Ihre Umgebung nicht geeignet ist,<br />
können Sie stattdessen das Plug-In pam_cracklib.so verwenden.<br />
Das Plug-In pam_cracklib.so überprüft alle Kennwortänderungsversuche, um sicherzustellen, dass das Kennwort<br />
die Qualitätskriterien erfüllt.<br />
• Das neue Kennwort darf kein Palindrom sein. Ein Palindrom ist ein Begriff, der von hinten nach vorn und<br />
von vorn nach hinten gelesen gleich bleibt, wie z. B. Radar oder Anna.<br />
• Das neue Kennwort darf keine Umkehrung des alten Kennwortes sein.<br />
• Das neue Kennwort darf keine Buchstabenverdrehung sein, d. h. eine Version des alten Kennwortes, in<br />
dem ein oder mehrere Buchstaben an den Anfang oder das Ende der Zeichenkette verschoben wurden.<br />
• Das neue Kennwort muss sich vom alten Kennwort durch mehr als nur durch Groß- und Kleinschreibung<br />
unterscheiden.<br />
• Das neue Kennwort muss sich vom alten Kennwort durch mehr als nur durch einige Zeichen unterscheiden.<br />
• Das neue Kennwort darf nicht in der Vergangenheit verwendet worden sein. pam_cracklib.so wendet<br />
dieses Kriterium nur an, wenn Sie eine Regel <strong>zur</strong> Wiederverwendung von Kennwörtern definiert haben.<br />
In der Standardeinstellung wendet <strong>ESX</strong> keine Regeln <strong>zur</strong> Wiederverwendung von Kennwörtern an, sodass<br />
das Plug-In pam_cracklib.so eine Kennwortänderung nicht aus diesem Grund ablehnt. Sie können<br />
jedoch eine solche Regel konfigurieren, damit Benutzer nicht nur einige wenige Kennwörter abwechselnd<br />
verwenden.<br />
Wenn Sie eine Regel <strong>zur</strong> Wiederverwendung von Kennwörtern konfigurieren, werden die alten Kennwörter<br />
in einer Datei gespeichert, die pam_cracklib.so bei jedem Kennwortänderungsversuch abfragt.<br />
Die Wiederverwendungsregeln bestimmen die Anzahl alter Kennwörter, die <strong>ESX</strong> speichert. Wenn ein<br />
Benutzer genügend Kennwörter erstellt hat und somit der in der Regel festgelegte Wert erreicht wird,<br />
werden die alten Kennwörter anhand ihres Alters aus der Datei gelöscht.<br />
• Das neue Kennwort muss ausreichend lang und komplex sein, um die Anforderungen des Plug-Ins zu<br />
erfüllen. Konfigurieren Sie diese Anforderungen durch Ändern der Komplexitätsparameter von<br />
pam_cracklib.so mit dem Befehl esxcfg-auth, mit dem Sie die Wiederholungsversuche, die Mindestlänge<br />
des Kennworts und verschiedene Zeichenboni festlegen können.<br />
Um die Kennwortkomplexität mit dem Plug-In pam_cracklib.so festzulegen, können Sie den Bonusparametern<br />
<strong>für</strong> die folgenden Zeichenklassen Werte zuweisen:<br />
• lc_credit <strong>für</strong> Kleinbuchstaben<br />
• uc_credit <strong>für</strong> Großbuchstaben<br />
• d_credit <strong>für</strong> Zahlen<br />
• oc_credit <strong>für</strong> Sonderzeichen, z. B. Unterstrich und Bindestrich<br />
Boni erhöhen den Wert <strong>für</strong> die Komplexität des Kennworts. Ein Benutzerkennwort muss den Mindestwert<br />
erreichen oder überschreiten, der von Ihnen anhand des Parameters minimum_length festgelegt wurde.<br />
HINWEIS Das Plug-In pam_cracklib.so akzeptiert nur Kennwörter mit mindestens sechs Zeichen, unabhängig<br />
davon, ob Bonuspunkte verwendet werden und welcher Wert <strong>für</strong> den Parameter minimum_length festgelegt<br />
wurde. Dies bedeutet, dass der Benutzer auch dann mindestens sechs Zeichen eingeben muss, wenn 5 als<br />
minimum_length angegeben ist.<br />
<strong>VMware</strong>, Inc. 223