Passwort für vCenter Server Appliance (vCSA) 6.7 zurücksetzen, Gültigkeitsdauer konfigurieren

    Das DCUI von vCSA 6.0Hat man das root-Passwort für das vCSA ver­gessen oder hat es die konfi­gurierte Lebens­dauer erreicht, dann muss man es zurück­setzen. Auch bei zu vielen ungül­tigen Anmelde­versuchen wird es gesperrt. Dieser Bei­trag zeigt, wie man die Pass­wort­richtlinie für root konfiguriert und im Notfall das Kenn­wort zurück­setzt.

    Das root-Password der vCSA wird immer dann benötigt, wenn man sich per CLI an der Konsole, an der Bash (sofern freigeschaltet) oder an der Web-basierten Appliance-Verwaltung auf TCP-Port 5480 anmelden möchte.

    Linux- versus vSphere-Passwort

    Das dafür zuständige Identity-Management ist jenes des lokalen Betriebs­systems (dem VMware-Linux namens Photon), weshalb sich dieses Konto vom admini­strativen SSO-Konto des vSphere Web Client (Administrator) unter­scheidet.

    Gerade bei Neulingen, denen dieser Sachverhalt nicht klar ist, kann es deswegen zu Ver­wechslungen und damit zu fehlge­schlagenen Anmelde­versuchen kommen.

    Neues root-Passwort setzen

    Achtung: Vor dem Fortfahren mit der folgenden Anleitung empfiehlt es sich aus Sicherheits­gründen, einen Snapshot oder ein Datei-Backup der vCSA-VM anzufertigen.

    Wurde das root-Passwort vergessen, dann hilft nur das Herunter­fahren der Appliance und das Verfolgen des Neustarts in der VM-Konsole (am Host-Client, wenn die vCenter-VM selbst­verwaltet ist, oder im Web Client eines Management-vCenters).

    Unter Umständen muss man vorab in den VM-Einstellungen eine Boot-Verzögerung einrichten, um an der Konsole die Möglichkeit zu erlangen, durch Drücken der Taste "e" im Grub-Bootmenü den Starteintrag für Photon OS bearbeiten zu können.

    Durch eine längere Boot-Verzögerung bleibt mehr Zeit zum Öffnen der Edit-Option von GRUB.

    An der Konsole der vCSA-VM ergänzt man dann am Ende der ersten mit linux beginnenden Zeile (je nach Auflösung kann die Zeile auch umbrechen) den Eintrag

    rw init=/bin/bash

    Boot-Parameter in Grub ändern

    Danach drückt man F10 für Boot. Dadurch startet die vCSA so, dass der root-Nutzer ohne weitere Passwort-Abfrage an der Bash-Kommando­zeile (und nicht im grafischen Modus) landet. Hier gibt er dann den Befehl

    mount -o remount,rw /

    ein, um das root-Filesystem schreibfähig zu re-mounten.

    Nun ist es möglich, durch Eingabe von

    passwd

    ein neues Passwort zu setzen. Anschließend un-mountet man das root-Dateisystem mit

    umount /

    und startet die Appliance mit

    reboot -f

    neu.

    Gültigkeitsdauer von Kennwörtern ändern

    Nach einem erfolgreichen Login kann man das Kennwort selbst sowie die Gültigkeits­dauer recht einfach an der Appliance-Management-GUI im Abschnitt Verwaltung einstellen.

    Kennwort und seine Gültigkeitsdauer im VAMI ändern

    Anfänglich wird das Kennwort für das Konto root im Verlauf der vCSA-Installation gesetzt. Per Vorein­stellung läuft das root-Passwort im vCenter Server Appliance nach 365 Tagen ab.

    Um die Richtlinie für die Ablaufzeit von Passwörtern zu ändern, kann man sich als root an der vCSA-Bash anmelden. Sofern diese noch nicht frei­gegeben ist, muss man sich zunächst an der so genannten Konsolen-CLI anmelden und dann den Befehl shell eingeben.

    Das De-/Aktivieren der Konsolen-CLI, der Bash und der neuen DCLI erfolgt seit der Version 6.7 nicht mehr im Web Client oder vSphere Client, sondern über die Appliance-Verwaltung im Anschnitt Zugriff.

    Zugriff auf die Bash im vCenter-Appliance konfigurieren

    Zur Konfiguration der Gültigkeits­dauer von Kenn­wörtern dient an der Konsolen-CLI das Kommando chage. Die Eingabe ohne Parameter gibt die möglichen Optionen aus. Um die maximale Lebensdauer auf 90 Tage zu setzen, genügt ein

    chage -M 90 root

    Passwortrichtlinien für Photon ändern mit chage

    Das Ergebnis kann man sofort in der Appliance-Verwaltung nachprüfen.

    Passwort für Photon ohne Ablaufdatum

    Um dafür zu sorgen, dass das root-Kennwort nie abläuft, genügt folgender Befehl auf der Kommandozeile:

    chage -M -1 -E -1 root

    Keine Kommentare