Парольное бремя в ESXi 4.1

Шпаргалка.
На самом деле мне просто надоело в лабе на ESXi ставить длинные пароли. Но пригодится не только чтобы избавиться от политики длин паролей, но и на случай, если, наоборот, политику нужно усложнить.


Далее - все на свой страх и риск.
  1. В ESXi 4.1 нужно включить режим "Tech Support"
  2. Редактировать в файле "/etc/pam.d/system-auth" сроку:
  3. password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6

Цифры в поле min означают минимальное количество символов пароля, в зависимости от количества примененных символьных классов при создании пароля. Классы это: маленькие латинские буквы, большие латинские буквы, цифры, все прочие символы.


Поле min имеет следующие параметры:
  • Первое число - минимальное количество символов в пароле, если использовался только один класс: например, только маленькие буквы, или только цифры. По-умолчанию, в таком пароле должно быть не менее 8 символов.
    password
  • Второе число - минимальное количество символов в пароле, если использовались два разных класса: например, маленькие и большие буквы. По-умолчанию, в таком пароле должно быть не менее 8 символов.
    PaSSword
  • Третье число. По-умолчанию, в таком пароле должно быть не менее 8 символов.
  • Четвертое число - минимальное количество символов в пароле, если использовались три разных класса: например, маленькие буквы, большие буквы и цифры. По-умолчанию, в таком пароле должно быть не менее 7 символов.
    Pa55Wrd
  • Пятое число - минимальное количество символов в пароле, если использовались все четыре класса. По-умолчанию, в таком пароле должно быть не менее 6 символов.
    P@5Wrd

Четыре правила:
  1. Изменения в политике паролей сразу после сохранения файла применяются ко всем новым паролям. Ни перегружать ESX, ни перезапускать никакие сервисы не надо.
  2. Первый и последний символы пароля не идут в зачет, при подсчете количества классов. Т.е. пароли: Password, Password1 - должны считаться, как пароли содержащие символы только одного класса.
    Тогда как: 
    PassWord - два класса, а pAssw0rd - три.
  3. Числа в параметры min не могут повышаться от левого значения к правому значению. Значение вида: min=8,9,8,6,7 - создавать нельзя, чревато получением ошибки:
    "User name or password has an invalid format" при создании новых паролей.
  4. Кроме непосредственного изменения цифр в параметре min, можно просто добавить в конце этой строки: enforce=none
    В этом случае политика длин паролей не применяется вообще.

Вот вам быстрое видео (быстрое - в различных смыслах :-) ):


P.S. В ESXi 4.0 файл звать "/etc/pam.d/common-password"