VCSA のパスワード要件を変更し、簡易な root パスワードを変更する

vSphere 7.0 における VCSA のパスワード要件はデフォルトで以下です。

1. 過去の 5 件のパスワードでないこと。
2. 6 文字以上であること。
3. アルファベットの大文字を 1 つ以上含んでいること。
4. アルファベットの小文字を 1 つ以上含んでいること。
5. 数字を 1 つ以上含んでいること。
6. 英数字以外の文字を 1 つ以上含んでいること。
7. 辞書にある語を含めることはできません。

検証環境であればセキュリティは意識せず、root パスワードに簡易なものを設定出来た方が便利な場合もあると思います。 今回は VCSA のパスワード要件を変更し、簡易な root パスワードを設定する手順をメモしておきます。

パスワード要件は VCSA の Web UI (https://ADDRESS:5480) の 管理 画面で確認することが出来ます。

これを変更するには VCSA へ SSH ログインします。

Command> shell
Shell access is granted to root
root@localhost [ ~ ]#

パスワード要件は /etc/pam.d/system-password で定義されています。 これを以下のように変更します。

---

変更前

# Begin /etc/pam.d/system-password

# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
password  requisite   pam_cracklib.so   dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root
password  required    pam_pwhistory.so  debug use_authtok enforce_for_root remember=5
password  required    pam_unix.so       sha512 use_authtok shadow try_first_pass
# End /etc/pam.d/system-password

変更後

enforce_for_root 設定を削除します。

# Begin /etc/pam.d/system-password

# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
password  requisite   pam_cracklib.so   dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4
password  required    pam_pwhistory.so  debug use_authtok remember=5
password  required    pam_unix.so       sha512 use_authtok shadow try_first_pass
# End /etc/pam.d/system-password

---

これで簡易なパスワードでも設定出来るようになりました。

root@localhost [ ~ ]# passwd
New password:
BAD PASSWORD: it is based on a dictionary word
Retype new password:
Password has been already used.
passwd: password updated successfully

ちなみに CLI からパスワード要件を変更しても Web UI には特に何も反映されません。