Comment gérer les paramètres d’expiration des mots de passe dans VMware vSphere

Parfois, lorsqu’on utilise vSphere ou vCenter, on reçoit cette notification persistante : « Votre mot de passe expirera dans xx jours.» Franchement, c’est assez agaçant, surtout si on n’a pas envie de changer de mot de passe tous les deux mois ou si on gère de nombreux comptes. Ce guide explique en détail ce qui se cache derrière ces messages : un paramètre à modifier ou une règle à ajuster. Vous saurez ainsi exactement où chercher et quoi faire. Bien souvent, il suffit de désactiver l’expiration ou d’allonger la durée, ce qui peut vous éviter bien des tracas. Après avoir modifié les paramètres, vous verrez moins de ces notifications et vous aurez un meilleur contrôle sur vos règles de mots de passe. On se demande bien pourquoi ces règles existent, mais c’est quand même satisfaisant de pouvoir les maîtriser sans avoir à changer de compte ni à tout réinstaller.

Comment résoudre le problème de la notification « Le mot de passe va expirer » dans vSphere et vCenter ?

Méthode 1 : Modifier la politique de mot de passe dans le client vSphere

C’est la méthode la plus simple pour désactiver les notifications d’expiration de mot de passe pour les utilisateurs locaux. Le client vSphere stocke ces stratégies dans la configuration de l’authentification unique (SSO), plus précisément dans l’onglet « Stratégie de mot de passe ». Il détermine la fréquence de renouvellement des mots de passe, généralement fixée à 90 jours par défaut.

  • Connectez-vous à votre client Web vSphere et accédez à AdministrationAuthentification uniqueConfiguration.(Si vous utilisez le client HTML5 vSphere, cette option se trouve dans le menu principal, mais elle est généralement accessible via Administration.)
  • Accédez à l’ onglet Politique de mot de passe. Vous y trouverez des options telles que Longueur minimale du mot de passe et Expiration du mot de passe dans.
  • Cliquez sur Modifier. La durée de vie maximale par défaut est souvent de 90 jours, mais elle est facile à modifier.
  • Définissez la durée de vie maximale sur un nombre plus élevé, comme 365, ou sur 0 si vous souhaitez que les mots de passe n’expirent jamais.
  • Enregistrez les modifications. Sur certaines configurations, il peut être nécessaire d’actualiser la page, voire de se reconnecter, pour que la nouvelle politique soit prise en compte. Ne vous inquiétez donc pas si le changement n’est pas immédiat.

Cette méthode est avantageuse car elle ajuste directement la fréquence à laquelle vSphere impose des changements de mot de passe. Elle est idéale si votre politique de sécurité autorise des durées de vie plus longues pour les mots de passe ou si vous souhaitez éviter les notifications d’expiration intempestives. Vous recevrez ainsi moins d’invitations à renouveler votre mot de passe.

Méthode 2 : Configurer le mot de passe d’un utilisateur spécifique pour qu’il n’expire jamais via SSH

Si vous ne souhaitez pas modifier la politique globale, mais qu’un compte utilisateur ou de service nécessite des autorisations plus étendues, voici la solution. Elle est un peu complexe, mais elle fonctionne. Vous devez d’abord disposer d’un accès SSH à votre hôte vCSA. Si SSH n’est pas activé, accédez à la section « Accès » de l’interface de gestion de l’appliance ( https://votre_nom_vcenter:5480/ui/access ) et activez SSH.

Une fois SSH activé et la connexion établie, accédez au répertoire où VMware stocke ses outils CLI :

cd /usr/lib/vmware-vmafd/bin/

Vérifier si l’utilisateur existe avec :

./dir-cli user find-by-name --account backup_user

Si le système trouve le compte, vous pouvez alors faire en sorte que le mot de passe de cet utilisateur n’expire jamais en exécutant :

./dir-cli user modify --account backup_user --password-never-expires

Une fois la commande exécutée, vous devriez voir une confirmation indiquant que le mot de passe de backup_user est configuré pour ne jamais expirer. Je ne sais pas pourquoi VMware a rendu cette interface de ligne de commande un peu cachée, mais elle est pratique pour les comptes spéciaux. Attention : sur certaines configurations, il peut être nécessaire de redémarrer les services ou de se reconnecter pour que la modification soit prise en compte, mais généralement, elle est quasi instantanée.

Méthode 3 : Vérifier et modifier l’expiration du mot de passe root

Cette procédure s’applique si vous avez installé vCenter en tant qu’appliance et que vous craignez que le mot de passe du compte root n’expire inopinément. La durée de validité du mot de passe root varie selon la version : 365 jours dans vSphere 6.5 et 90 jours dans vSphere 6.7. Pour prolonger cette durée ou la rendre permanente, suivez les instructions.

  • Accédez à la console vCSA directement ou via SSH. Utilisez la commande :
chage -l root
  • Vous verrez ainsi la date d’expiration actuelle. Vous verrez probablement « Expire le mot de passe : date » et d’autres détails.
  • Pour configurer le mot de passe afin qu’il n’expire jamais, exécutez :
    • sudo chage -E -1 root
  • Ou ajustez le nombre maximal de jours avec :
    • sudo chage -M 0 root

    N’oubliez pas que si vous mettez à jour votre vCSA ou appliquez un correctif, ces politiques d’expiration peuvent être réinitialisées ou provoquer des erreurs. Parfois, l’interface ne le signale pas directement, mais dès qu’une mise à jour ou un correctif est effectué, les notifications d’expiration peuvent réapparaître. Il est donc préférable de configurer ces politiques une fois pour toutes, si les règles de sécurité le permettent.

    Méthode 4 : Ajuster le délai de notification d’expiration du mot de passe

    Par défaut, vCenter avertit les utilisateurs de l’expiration de leur mot de passe environ 30 jours à l’avance, mais ce comportement est modifiable. Cette option est particulièrement utile si votre équipe de sécurité ou votre politique de domaine souhaite des alertes précoces ou, au contraire, aucune alerte.

    • Ouvrez le terminal ou la session SSH de votre vCSA, puis modifiez le fichier de configuration :
    sudo vi /etc/vmware/vsphere-ui/webclient.properties
  • Recherchez le paramètre sso.pending.password.expiration.notification.days. Modifiez sa valeur, par exemple à 7 jours si vous souhaitez un préavis d’une semaine au lieu d’un mois.
  • Enregistrez le fichier et redémarrez le service vSphere Web Client :
    • sudo service-control --stop vsphere-uisudo service-control --start vsphere-ui

    Si vous utilisez encore l’ancien client basé sur Flex, le fichier se trouve à l’emplacement suivant : /etc/vmware/vsphere-client/webclient.properties. La procédure est la même : modifiez le fichier, enregistrez-le, puis redémarrez les services. C’est simple, mais n’oubliez pas de sauvegarder vos données avant toute modification.

    Et si rien ne fonctionne, ou si vous souhaitez simplement désactiver ces alertes d’expiration agaçantes, vérifiez vos stratégies et assurez-vous que les paramètres d’expiration correspondent à vos attentes. Il s’agit souvent d’un mélange de stratégies locales, de stratégies de domaine et de paramètres vSphere qui peuvent s’avérer complexes et rendre la gestion fastidieuse.

    Espérons que cela permette de réduire le nombre de notifications d’expiration et de simplifier la gestion des mots de passe. Car, bien sûr, VMware a parfois la fâcheuse tendance à compliquer les choses inutilement.

    Comment configurer le transfert de périphérique USB depuis VMware ESXi vers une machine virtuelle ?
    Comment résoudre l'erreur VMware lorsqu'un fichier est inaccessible en raison d'un verrouillage ?