ESXi5.xのパスワード要件を簡単or厳しくする方法

2015年1月5日

ESXi5.0, 5.1, 5.5では、パスワードの要件が決められているので、簡単なパスワードを設定しようするとエラーとなり設定できません。制限を解除するのは推奨ではないですが、どうしても解除したいという場合の手順です。
また、設定値により、要件をさらに厳しくすることも出来ます。

出力されるエラーの例

vSphereClientでの操作の場合

一般的なシステムエラーが発生しました: passwd: Authentication token manipulation error
ESXi「xxxxxx」で オブジェクト「ha-localacctmgr」の「HostLocalAccountManager.UpdateUser」 の呼び出しが失敗しました。
パスワードを設定できませんでした。システムによって設定された複雑性の基準をパスワードが満たしていない可能性があります。
token_manipulation_error_esxi5

コンソールでの操作の場合

Weak password: not enough different characters or classes for this length.
passwd: Authentication token manipulation error

パスワードの要件

  • 大文字、小文字、数字、記号の4種類の文字を利用可能
  • 長さ 7文字のパスワードでは 3種類以上が必要
  • 長さ 6文字のパスワードでは 4種類が必要
  • 1文字目の大文字は文字種の数に含まれない
  • 最後の文字を数字の場合も文字種の数に含まれない
  • admin、root、administratorという文字を含むことはできない

パスワード要件の変更手順

設定ファイルを開く

ESXiにssh接続

ESXiにssh接続します。コンソールからesxiシェルでも良いです。
sshの有効化手順はこちらの記事を参照 ⇒ ESXi5.5でsshを有効にする方法

/etc/pam.d/passwdファイルを編集

vi /etc/pam.d/passwd

要件を無くしたい場合

変更前:
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6
変更後:
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=0,0,0,0,0

このように、数字を0に書き換えることで、制限を解除することができます。
これでアルファベット1文字のパスワードでも設定できるようになります。

要件を厳しくしたい場合

password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6

こちらの8,8,8,7,6の数字を、以下の設定値の意味を読んで、設定したい要件に合うように変更します。

設定値の意味

8,8,8,7,6 の場合は、以下のような設定になる。

左から1つ目の数字の意味:1 つの文字種が含まれるパスワードは8文字以上必要
左から2つ目の数字の意味:2 つの文字種が含まれるパスワードは8文字以上必要
左から3つ目の数字の意味:パスワード内に単語を含む場合、8文字以上の単語が必要
左から4つ目の数字の意味:3 つの文字種が含まれるパスワードは7文字以上必要
左から5つ目の数字の意味:4 つの文字種が含まれるパスワードは6文字以上必要