Wenn man NSX in einer gesicherten Laborumgebung betreibt ist es ziemlich lästig, wenn man regelmässig (standardmässig alle 90 Tage) die Passwörter der admin/root und audit Benutzer ändern muss.
Daher lässt sich dies auch abschalten.
Hier stehen zwei Möglichkeiten zur Verfügung:
- Alterung des Passworts ändern (Intervall verlängern oder verkürzen)
- Alterung des Passwortes gänzlich abschalten
In einer Produktivumgebung kann es sinnvoll sein, die Logins mit lokalen Benutzern grundsätzlich zu limitieren. D.h., es wird eine externe Idenitäsquelle (LDAP, AD, vIDM) angebunden und Benutzern von dort mittels RBAC Zugriff auf bestimmte Aufgaben genehmigt. Hierzu würde man dann die lokalen Passwörter entsprechend komplett gestalten und eine Alterung auf einen langen Zeitraum setzen, damit bei einem Notfall (z.B. wenn der IDP nicht zur Verfügung steht) auch direkt gearbeitet werden kann. Hier kann dann auch ein Mehraugen Prinzip für das Passwort helfen die Kontrolle zu behalten (sprich mind. zwei Admins halten je eine Hälfte des Passworts in ihrem Passwort Safe).
Eine weitere Hürde könnte darstellen, den Zugriff auf die NSX Komponenten nicht via SSH verfügbar zu machen. Dann könnte man lediglich via API oder mit einer lokalen Konsole (deren Zugriff dann via vCenter Remote Console erfolgt) das darunter liegende Linux erreichen und dann nur phasenweise SSH aktivieren.
Die Passwort Alterung wird nun mit folgenden Befehlen angepasst:
nsxcli> set user admin password-expiration <1 – 9999>
https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/installation/GUID-89E9BD91-6FD4-481A-A76F-7A20DB5B916C.html
oder
nsxcli> clear user audit password-expiration
https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/installation/GUID-89E9BD91-6FD4-481A-A76F-7A20DB5B916C.html
Wichtig: Diese Änderung gilt pro System. D.h., wenn diese Anpassung für den NSX Manager durchgeführt wurde, muss es auch noch für die anderen Manager und die Edges angepasst werden.
Comments