Lorsque vous avez installé votre hyperviseur VMware ESXi, vous avez dû vous rendre compte que l'installeur attendait une certaine complexité pour le mot de passe du compte root.
Bien que cela soit une bonne idée pour le compte root (qui a tous les droits sur votre hyperviseur), cela peut être un peu excessif ou embêtant dans un environnement de test.

Dans ce tutoriel, vous verrez comment modifier et réduire la complexité requise par VMware ESXi pour les mots de passe de vos utilisateurs.
Ainsi, vous pourrez créer des utilisateurs avec des mots de passe plus simples, étant donné que leurs droits seront très souvent limités.

1. Mot de passe faible détecté
2. Changer la complexité requise pour le mot de passe
   1. Comprendre comment changer la vérification de la complexité des mots de passe
   2. Changer la complexité requise pour le mot de passe (en ligne de commandes)
   3. Changer la complexité requise pour le mot de passe (depuis l'interface web)
3. Mots de passe faibles acceptés
4. Restaurer la complexité requise par défaut

1. Mot de passe faible détecté

Si vous tentez d'utiliser un mot de passe simple (un mot du dictionnaire, un mot de passe trop court, un mot de passe contenant uniquement des lettres minuscules, ...), VMware ESXi refusera celui-ci et cette erreur apparaitra :

Plain Text

Mot de passe faible : il n'y a pas assez de caractères différents ou de classes.

Comme indiqué dans la documentation officielle de VMware, par défaut, le mot de passe doit :

• avoir une longueur d'au moins 8 caractères
• posséder au moins une lettre minuscule, une lettre majuscule, un chiffre et un caractère spécial
• celui-ci ne doit pas se trouver dans le dictionnaire

2. Changer la complexité requise pour le mot de passe

2.1. Comprendre comment changer la vérification de la complexité des mots de passe

Dans la documentation citée précédemment, VMware vous indique que ESXi utilise le module PAM (pam_passwdqc) disponible sous Linux pour gérer les mots de passe (vérifier leur complexité, les contrôler, ...) et que vous devez donc vous référer au manuel de ce module si vous souhaitez obtenir plus d'informations.

Ce manuel (ou "man page" en anglais) est disponible sur plusieurs sites, dont celui d'Ubuntu : Ubuntu Manpage: pam_passwdqc — Password quality-control PAM module.

Sur la page citée ci-dessus, vous trouver un lien permettant de trouver les informations détaillées concernant la configuration du fichier "passwdqc.conf" concerné par ce module PAM (pam_passwdqc) : Ubuntu Manpage: passwdqc.conf — libpasswdqc configuration file.

En sachant que la valeur par défaut est "retry=3 min=disabled,disabled,disabled,7,7", la page citée ci-dessus vous permettra d'adapter cette valeur pour changer la complexité minimale que vous souhaitez définir sur votre hyperviseur VMware ESXi pour les mots de passe utilisateurs.

Conformément au manuel cité précédemment, vous pourrez changer le nombre d'essais autorisés en utilisant l'option "retry=N".
Par défaut, sous VMware ESXi, cette valeur est 3.

Plain Text

retry=3

Pour la longueur minimale que le mot de passe devra avoir, vous pouvez la définir en fonction de la complexité utilisée pour celui-ci.
Pour cela, vous devez modifier l'option "min=N0,N1,N2,N3,N4".

Grâce à cette option, vous pourrez spécifier la longueur minimale que le mot de passe doit avoir :

• N0 : si celui-ci contient des caractères d'une seule classe de caractères (lettres en minuscules, lettres en majuscules, chiffres, ...).
• N1 : idem, mais si celui-ci contient des caractères de 2 classes de caractères.
• N2 : idem, mais pour les passphrases.
• N3 : idem, mais pour 3 classes de caractères.
• N4 : idem, mais pour 4 classes de caractères.

Pour accepter les mots de passe d'au moins 7 caractères, tout en acceptant les mots de passe faibles (qui contiendrait au moins une classe de caractères, par exemple), configurez cette option comme ceci :

Plain Text

min=7,7,7,7,7

2.2. Changer la complexité requise pour le mot de passe (en ligne de commandes)

Maintenant que vous savez quelle valeur utiliser, voici comment changer la valeur par défaut en ligne de commandes sur votre hyperviseur VMware ESXi.

Activez le serveur SSH de votre hyperviseur VMware ESXi, puis connectez-vous en tant que root sur celui-ci.
Ensuite, sauvegarder le fichier de configuration d'origine en créant une copie de celui-ci.

Bash

cp /etc/pam.d/passwd /etc/pam.d/passwd.bak

Modifiez ce fichier grâce à "vi".

Bash

vi /etc/pam.d/passwd

Dans ce fichier, vous trouverez plusieurs lignes dont une ressemble à ceci.
Ce qui indique que l'utilisateur a droit à 3 essais et que les mots de passe utilisant seulement 1 ou 2 classes de caractères ou étant des passphrases sont refusés par défaut.
Pour les mots de passe utilisant au moins 3 classes de caractères, la longueur minimale est de 7 caractères.

Plain Text

password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7

Modifiez cette ligne en adaptant les valeurs souhaitées comme expliqué à l'étape précédente.
Pour ce tutoriel, nous allons accepter tous les mots de passe d'au moins 7 caractères, y compris s'il s'agit d'une passphrase.

Plain Text

password   requisite    /lib/security/$ISA/pam_passwdqc.so retry=3 min=7,7,7,7,7

Source : ESX and ESXi 4.x or higher requirements and restrictions (1012033)

2.3. Changer la complexité requise pour le mot de passe (depuis l'interface web)

Sous VMware ESXi 6.7, il est aussi possible de modifier cette valeur directement depuis l'interface web (VMware Host Client) de votre hyperviseur VMware ESXi.
Pour cela, allez dans : Hôte -> Gérer -> Système -> Paramètres avancés.

Comme vous pouvez le voir, VMware ESXi possède un millier de paramètres avancés.

Pour modifier la complexité requise pour les mots de passe, vous devrez modifier le paramètre avancé nommé "Security.PasswordQualityControl".
Pour le trouver facilement, indiquez "quality" dans la case de recherche disponible en haut à droite du tableau.
Ensuite, sélectionnez ce paramètre "Security.PasswordQualityControl" et cliquez sur : Modifier l'option.

Comme vous pouvez le voir, une fois ce paramètre sélectionné, VMware ESXi vous indique qu'il s'agit d'un paramètre de contrôle de qualité des mots de passe et que celui-ci correspond à des options brutes pour le module PAM pma_passwdqc et que cette valeur sera utilisée telle quelle dans le fichier de configuration PAM.

Indiquez la valeur souhaitée dans la case et cliquez sur Enregistrer.

Le message "Security.PasswordQualityControl a été modifié" apparait.

Comme vous pouvez le voir, la valeur utilisée est maintenant "retry=3 min=7,7,7,7,7" (dans notre cas) et la valeur par défaut est "retry=3 min=disabled,disabled,disabled,7,7".

3. Mots de passe faibles acceptés

Maintenant que vous avez adapté la complexité requise par VMware ESXi pour les mots de passe, essayez à nouveau d'ajouter l'utilisateur souhaité via le menu : Hôte -> Gérer -> Sécurité et utilisateurs -> Utilisateurs.

Indiquez un nom d'utilisateur et le mot de passe souhaité (de façon à ce qu'il respecte la nouvelle complexité souhaitée) et cliquez sur : Ajouter.

L'utilisateur souhaité a été ajouté.

4. Restaurer la complexité requise par défaut

Pour restaurer la valeur configurée par défaut sous VMware ESXi, allez dans "Hôte -> Gérer -> Système -> Paramètres avancés" et indiquez "quality" dans la case de recherche en haut à droite du tableau.
Ensuite, sélectionnez le paramètre avancé "Security.PasswordQualityControl" modifié précédemment et cliquez sur : Actions -> Réinitialiser sur les paramètres par défaut.

Ensuite, ce message apparaitra : Security.PasswordQualityControl a été réinitialisé sur la valeur par défaut retry=3 min=disabled,disabled,disabled,7,7.