仮想化基盤でVMware製品を利用している場合の運用では、vRealize Operations Managerがリソース管理として便利です。そして、vRealize Operations Manager6.5では、WEB管理画面がHTML5から刷新されて、かなり見やすくなりました。
続いて、VMware製品は、最近、仮想アプライアンスとしてデプロイするものが多くなり、システムを導入しやすくなりました。
そして、仮想アプライアンスとしてデプロイするvRealize Operations Manager6のrootパスワードの変更、無期限化手順を紹介します。
参考情報は公式サイトです。
パスワード有効期限の管理
以下は抜粋です。
----
すべての VMware セキュリティ強化アプライアンスでは、デフォルトで 60 日のパスワード有効期限が使用されます。大半のセキュリティ強化アプライアンスでは、root アカウントに 365 日のパスワード有効期限が設定されています。ベスト プラクティスとして、すべてのアカウントの有効期限がセキュリティと運用の要件を満たしていることを確認します。
root パスワードの有効期限が切れると、それを復元することはできません。管理パスワードおよび root パスワードの有効期限が切れるのを回避するには、サイト固有のポリシーを導入する必要があります。
---
続いて手順です。
続いて手順です。
【手順】
①root として仮想アプライアンス マシンにログインし、# more /etc/shadow コマンドを実行して、すべてのアカウントのパスワード有効期限を確認します。
②root アカウントの有効期限を変更するには、# passwd -x 365 root コマンドを実行します。
このコマンドの 365 は、パスワードの有効期限が切れるまでの日数を指定しています。同じコマンドを使用して root の代わりに特定のアカウントを使用し、ユーザーを変更します。さらに、組織の有効期限の基準を満たすように日数を置き換えます。
※root パスワードは、デフォルトで 365 日に設定されています。
ここで、365とありますが、Linuxと同様に「99999」を設定することで実質無期限にすることが可能です。
また、Linuxでは、10000以上の値を設定すると有効期限が無期限に設定されるそうで、同様の動作を確認できました。
続いて、adminのパスワードの有効期限です。仮想マシンデプロイ後に仮想アプライアンスに接続するにはrootのアカウントを利用しますが、WEBの管理画面にアクセスする場合は、adminを利用します。このアカウントは変更不可です。
そして、このアカウントのパスワードポリシーはWEBの管理画面にて行います。その設定内容については以下の公式サイトが参考になります。
アクセス コントロール:[パスワード ポリシー] タブ(VMware)
以下の項目を無効にする(チェックを外す)ことで、パスワードの有効期限が無効になります。
ここで、365とありますが、Linuxと同様に「99999」を設定することで実質無期限にすることが可能です。
また、Linuxでは、10000以上の値を設定すると有効期限が無期限に設定されるそうで、同様の動作を確認できました。
続いて、adminのパスワードの有効期限です。仮想マシンデプロイ後に仮想アプライアンスに接続するにはrootのアカウントを利用しますが、WEBの管理画面にアクセスする場合は、adminを利用します。このアカウントは変更不可です。
そして、このアカウントのパスワードポリシーはWEBの管理画面にて行います。その設定内容については以下の公式サイトが参考になります。
アクセス コントロール:[パスワード ポリシー] タブ(VMware)
以下の項目を無効にする(チェックを外す)ことで、パスワードの有効期限が無効になります。
●パスワードの変更ユーザーがパスワードを変更するために必要な設定を変更します。
パスワード変更ポリシーのアクティブ化。特定の間隔でパスワードの変更をユーザーに求めるポリシーを有効化します。
パスワードの有効期限は、90 日ごとに切れます。 ユーザーはパスワードの有効期限が切れる 5 日前に通知を受け取ります。
期限切れになる 5 日前にユーザーに警告します。 パスワードが期限切れになることを vRealize Operations Manager がユーザーに通知する時期を示します。 デフォルトは、パスワードが期限切れになる 5 日前です。
デフォルトでは、90日でパスワードを変更する必要があります。
ただし、昨今はセキュリティが厳しくなっているので、無期限で運用するのは望ましくないですね。
