如何为 ESXi 主机配置多因素身份验证（MFA）？

为ESXi主机配置多因素认证（MFA），需通过集成Radius服务器（如Windows NPS）并启用第三方MFA解决方案（如RSA SecurID或Microsoft Authenticator），或在vCenter中启用基于TOTP的MFA插件。

为ESXi主机配置多因素身份验证（MFA）需通过集成第三方Radius服务器实现。步骤如下：1. 部署Radius服务器（如FreeRADIUS），配置其支持MFA（如TOTP）；2. 在ESXi主机管理界面（vSphere Client）中，进入"主机 > 配置 > 系统 > 身份验证服务"，选择Radius作为服务类型，填写服务器地址、端口及共享密钥；3. 验证Radius连接后，ESXi登录时将要求MFA。

延伸知识点——Radius协议与TOTP集成原理：Radius（远程认证拨号服务）通过客户端-服务器模型传递认证请求。当ESXi发送用户凭证至Radius服务器时，服务器会调用MFA模块（如Google Authenticator的PAM插件），生成基于时间的一次性密码（TOTP）。TOTP算法以共享密钥和当前时间戳为输入，通过HMAC-SHA1生成6位动态码，用户需在客户端（如手机App）输入该码完成二次验证，从而增强安全性。

1. 使用RADIUS集成MFA方案：
   • 部署RADIUS服务器（如Windows NPS或FreeRADIUS），安装MFA插件（如Duo Proxy/Google Authenticator）。
   • 在RADIUS服务器配置ESXi为客户端，设置共享密钥。
2. ESXi主机配置RADIUS认证：
   • 登录ESXi Host Client，进入【管理】-【系统】-【高级设置】。
   • 搜索并设置 Config.HostAgent.plugins.hostsvc.esxAdminsGroup 为空（避免本地组覆盖）。
   • 在【身份验证服务】中启用RADIUS，填写服务器IP、端口（默认1812）、共享密钥。
3. 验证与测试：
   • 使用SSH或控制台登录ESXi，输入本地账户后会触发RADIUS-MFA验证流程（如手机APP确认）。
   • 确认日志（/var/log/auth.log）无错误。
4. 备用方案（无RADIUS）：
   • 通过PowerCLI脚本强制用户首次登录后修改密码，结合临时OTP工具（如临时邮箱+脚本生成）实现简易双因素。