NSX-T Passwort Alterung, und Schutz

Wenn man NSX in einer gesicherten Laborumgebung betreibt ist es ziemlich lästig, wenn man regelmässig (standardmässig alle 90 Tage) die Passwörter der admin/root und audit Benutzer ändern muss.

Die oben stehenden Meldung erscheint 30 Tage vor Ablauf des Passwortes für jeden betroffenen Knoten individuell.

Daher lässt sich dies auch abschalten.

Hier stehen zwei Möglichkeiten zur Verfügung:

  1. Alterung des Passworts ändern (Intervall verlängern oder verkürzen)
  2. Alterung des Passwortes gänzlich abschalten

In einer Produktivumgebung kann es sinnvoll sein, die Logins mit lokalen Benutzern grundsätzlich zu limitieren. D.h., es wird eine externe Idenitäsquelle (LDAP, AD, vIDM) angebunden und Benutzern von dort mittels RBAC Zugriff auf bestimmte Aufgaben genehmigt. Hierzu würde man dann die lokalen Passwörter entsprechend komplett gestalten und eine Alterung auf einen langen Zeitraum setzen, damit bei einem Notfall (z.B. wenn der IDP nicht zur Verfügung steht) auch direkt gearbeitet werden kann. Hier kann dann auch ein Mehraugen Prinzip für das Passwort helfen die Kontrolle zu behalten (sprich mind. zwei Admins halten je eine Hälfte des Passworts in ihrem Passwort Safe).

Eine weitere Hürde könnte darstellen, den Zugriff auf die NSX Komponenten nicht via SSH verfügbar zu machen. Dann könnte man lediglich via API oder mit einer lokalen Konsole (deren Zugriff dann via vCenter Remote Console erfolgt) das darunter liegende Linux erreichen und dann nur phasenweise SSH aktivieren.

Die Passwort Alterung wird nun mit folgenden Befehlen angepasst:

nsxcli> set user admin password-expiration <1 – 9999>

https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/installation/GUID-89E9BD91-6FD4-481A-A76F-7A20DB5B916C.html

oder

nsxcli> clear user audit password-expiration

https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/installation/GUID-89E9BD91-6FD4-481A-A76F-7A20DB5B916C.html

Wichtig: Diese Änderung gilt pro System. D.h., wenn diese Anpassung für den NSX Manager durchgeführt wurde, muss es auch noch für die anderen Manager und die Edges angepasst werden.

Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert