Moderne Apps Archives

24. Februar 202524. Februar 2025

Passwort Richtline bei VMware Linux Appliances einstellen

Über den Sinn von regelmäßigen Passwortwechseln lässt sich lange streiten. Der Zwang, alle x Tage ein neues Kennwort zu vergeben, welches sich vom vorherigen stark unterscheiden muss, halte ich für kontraproduktiv. Aber das ist ein anderes Thema.

Das Szenari, über das ich sprechen möchte, sieht folgendermaßen aus: eine nicht produktive Labor-Umgebung, bei der immer genau dann das Passwort abgelaufen ist, wenn man gerade wichtigeres zu tun hat. Die Appliance xy zeigt mir den virtellen Mittelfinger und nötigt mich zur Eingabe eines neuen Passwortes, das mindestens 5 klingonische Sonderzeichen enthalten muss. Grrr! Dies ist ein nicht-produktives Lab und ich verwende für alle – ja, alle – Dienste und Logins das gleiche Passwort. Es geht um Machbarkeit – nicht Sicherheit.

Bevor das jetzt jemand falsch versteht: 
Ja, im Live-Betrieb wäre das eine sehr dumme Idee.

Password Expiration

Der erste Schritt ist, die Ablaufzeit des Kennworts auf Null (Achtung! nicht bei VCF!) oder einen sehr langen Zeitraum zu setzen. Standardmäßig setze ich hier 9000 Tage ein. Das sind umgerechnet etwa 24 Jahre und 7 Monate. Das sollte reichen 😉

Oftmals lässt sich dieser Wert nicht in der GUI konfigurieren. Dann ist ist die CLI gefragt. Die Einstellung verbirgt sich bei den meisten Linux Varianten in einer Konfigurationsdatei namens login.defs. Wir können auf der shell eine schnelle Abfrage machen.

cat /etc/login.defs | grep PASS

PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 7

Voila! PASS_MAX_DAYS ist unsere Passwort Ablaufzeit.

Zur Veränderung müssen wir den vi verwenden, da nur selten andere Editoren in diesen Systemen verfügbar sind. Aber keine Angst vor vi. De ist eigentlich ganz nett. 🙂 Wir öffnen die Konfiguration mit:

vi /etc/login.defs

Jetzt Ruhe bewahren und nur die Taste i (für insert) drücken. Jetzt suchen wir in der Datei die Zeile mit PASS_MAX_DAYS und ändern den Wert auf beispielsweise 9000. Wer möchte, kann auch das Mindestalter PASS_MIN_DAYS auf 0 setzen. Damit kann das Passwort ohne Wartezeit erneut gewechselt werden.

Um unsere Änderung zu speichern drücken wir die ESC-Taste und danach die Taste mit dem Doppelpunkt. Unten links erscheint ein Doppelpunkt und zeigt, dass wir im Command-Modus sind. Wir geben die Zeichen wq (write, quit) und drücken Enter.

Sonderfall NSX-T mit VCF

Die Ablaufzeit der vordenfinierten Konten admin, root und audit unter NSX-T werden auf der Shell des NSX-Mangers mit einem eigenen Kommando gesetzt. Dazu verbindet man sich per SSH mit der Virtual-IP (VIP) des Management Clusters und wird zum aktuellen Master-Knoten weitergeleitet.

Um die Ablaufzeit der drei Konten auf 9000 Tage festzulegen, gibt man folgende drei Befehle ein:

set user admin password-expiration 9000
set user root password-expiration 9000
set user audit password-expiration 9000

In NSX-T Umgebungen ohne VCF dürfen die Ablaufzeiten der Passwörter ganz deaktiviert werden.

Achtung! bei NSX-T in Verbindung mit VCF führt dies aber zu Problemen beim Upgrade. Der Vollständigkeit halber hier die Befehle zur Deaktivierung:

clear user admin password-expiration
clear user root password-expiration
clear user audit password-expiration

Kontrolle

Die Ablaufzeit in NSX-T kann mit folgenden Kommandos abgefragt werden:

get user admin password-expiration
get user root password-expiration
get user audit password-expiration

Passwort History

Normalerweise reichen die obigen Änderungen aus. Wenn wir aber das Ablaufdatum verpasst haben und beim Login ein neues Passwort setzen mussten, dann können wir nicht wieder auf unser altes Passwort zurück wechseln. Das System merkt sich eine definierte Anzahl vergangener Passworte und erlaubt hier kein Recycling. Aber auch das können wir ändern. In vielen Linux Varianten gibt es dafür den daemon für pluggable authentication modules (pam.d). Die Konfiguration liegt unter /etc/pam.d/common-password. Systeme mit root Zugang können statt dessen auch die Konfiguration in /etc/pam.d/system-password haben.

vi /etc/pam.d/system-password

Hier setze ich den Wert remember=0. Damit kann das Wunschpasswort sofort neu gesetzt werden. Als root User genügt auf der shell das Kommando:

passwd

15. Dezember 202429. Dezember 2024

VMware Certified Professional – VMware Cloud Foundation Administrator 2024

Nicht nur ein weiterer Badge im CV, sondern eine Schlüsselrolle mit weitreichenden Auswirkungen.

Bis vor kurzem hatten Mitglieder des VMware vExpert Progamms Zugriff auf ein reichhaltiges Spektrum an VMware Testlizenzen. Somit konnte sichergestellt werden dass diese Spezialisten Praxiserfahrung mit VMware Software erlangen und dieses Wissen in Form von Blogs, Vorträgen oder Video-Tutorials weitergeben konnten.
Dies gilt auch weiterhin, jedoch mit einer Einschränkung:
Das VMware Kernprodukt VMware Cloud Foundation (VCF) ist hiervon ausgenommen.
Um Testlizenzen hierfür zu erhalten, müssen auch vExperts eine Qualifikation zum VMware Certified Professioanl (VCP) für VCF vorweisen können.
Das gleiche gilt für Inhaber der VMUG Adavantage Mitgliedschaft.
Auch hier gibt es künftig VCF Lizenzen nur noch gegen Nachweis der VCP-VCF Zertifizierung (2V0-11.24 oder folgende).
Als VMware Trainer hat es noch eine weitere Implikation. Eine der (vielen) Voraussetzungen, um künftig VCF Kurse lehren zu dürfen ist auch der VCP-VCF.

Um die Grundlagen dafür zu lernen gibt es ein on-demand Training von Broadcom.

Aber nicht nur in Bezug auf Lizenzen ist dieses Training und die Zertifizierung wichtig.
Alle die mit diesem Produkt künftig arbeiten werden, erhalten so Basiskenntnisse über die VCF-Architektur, die Bereitstellung und Day-2-Operations.

16. April 202315. März 2024

vExpert 2023 – Nominierungen in den Unterprogrammen

VMware vergibt jährlich die Auszeichnung vExpert an Personen, welche sich in besonderem Maße für die VMware Community eingesetzt haben. Dies kann entweder durch Veröffentlichungen, Vorträge, Blogs, oder durch Arbeit in der VMware User Group (VMUG) erfolgen. Es freut mich, 2023 zum siebten Mal in Folge Teil der vExpert Gemeinschaft zu sein.

Zusätzlich zum allgemeinen vExpert gibt es Unterprogramme für spezielle Anwendungszweige.

Application Modernization
AVI
Cloud Management
Cloud Provider
End User Computing (EUC)
Multi-Cloud
NSX
vExpertPro
Security

Ich hatte mich für die drei Unterprogramme vExpertPro, Application Modernization und Multi-Cloud beworben und wurde in allen drei Kategorien angenommen.

vExpertPro

Die Aufgabe des vExpert PRO-Programms ist es, ein weltweites Netzwerk von vExperts zu schaffen, die bereit sind, neue vExperts in ihren lokalen Gemeinschaften zu finden, sie zu fördern und sie auf ihrem Weg zum vExpert als Mentoren zu begleiten.

Dafür gibt es vExpertPro in vielen Regionen der Welt. Ich selbst gehöre dieser Gruppe seit 2021 an und wurde für ein weiteres Jahr bestätigt.

vExpert Multi-Cloud

Der Bereich Multi-Cloud erstreckt sich über weite Teile des VMware Compute Portfolios. Der Begriff Cloud beinhaltet nicht nur die Public-Cloud, sondern auch lokale Datacenter (Private-Cloud) und Kombinationen aus beiden Ansätzen (Hybrid-Cloud). Darunter fallen zahlreiche Produkte wie vSphere, vSAN, VMware Cloud Foundation (VCF), Aria, VMware Cloud on AWS, Site Recovery Manager (SRM) oder vCloud Director (VCD).

Ich hatte mich 2023 erstmalig für diesen relativ neuen vExpert-Pfad beworben und wurde angenommen. Vielen Dank an die Business Unit für das Vertrauen.

vExpert Application Modernization

Application Modernization dreht sich um die Themenbereiche Tanzu und Kubernetes, sowie das Ökosystem rund um diese Anwendungen. Der Hintergrund wurde sehr ausführlich von Keith Lee beschrieben in seinem Artikel „Announcing the VMware Application Modernization vExpert Program 2023„.

4. März 202316. März 2023

Update Tanzu Workload Management

Dies ist eine kurze Anleitung zur Aktualisierung des Tanzu Workload Managements im vSphere Cluster.

Kubernetes Release und Patch Zyklen

Kubernetes-Versionen werden in Anlehnung an die Semantic Versioning-Terminologie als x.y.z angegeben, wobei x die Hauptversion, y die Minor-Version und z die Patch-Version ist. So bezeichnet beispielsweise v1.22.6 eine Minor-Version 22 mit Patchlevel 6. Minor Versions werden ungefähr alle 3-4 Monate veröffentlicht. Dazwischen gibt es mehrere Patches innerhalb der Minor-Version.

Das Kubernetes-Projekt pflegt Release-Branches für die letzten drei kleineren Versionen (1.24, 1.23, 1.22). Seit Kubernetes 1.19 erhalten neuere Versionen etwa ein Jahr lang Patch-Support. Es ist also durchaus empfehlenswert, die Kubernetes Versionen in Tanzu auf aktuellem Stand zu halten.

Schritt 1 – vCenter aktualisieren

Dieser Schritt ist nicht zwingend erforderlich, aber empfohlen. Denn meist kommen Tanzu Updates einher mit einer neuen vCenter Version. Dies ist leicht erkennbar im vSphere-Client.