root-Passwort für vCenter Server Appliance 5.5 zurücksetzen

    vCenter Server ApplianceGrundsätzlich kann man ein Passwort für jedes System vergessen und sich auf diese Weise aussperren. Beim vCenter Server Appliance (vCSA) liegt es aber meist nicht am schlechten Gedächtnis, wenn man sich als root nicht mehr anmelden kann. Standardmäßig läuft das Passwort nämlich nach 90 Tagen ab und damit ist das Konto blockiert.

    Das vCSA ist eine vorkonfigurierte virtuelle Maschine auf Basis von Linux, die fast alle vCenter-Dienste bereitstellt. Die Verwaltung erfolgt zwar weitgehend über eine Browser-basierte Administrationsoberfläche (VAMI) und über den vSphere-Client, für das Zurücksetzen des Passworts muss man jedoch an die Linux-Konsole.

    GRUB-Passwort erforderlich

    Das vCSA installiert den Bootloader GRUB, der per Voreinstellung mehrere Startoptionen bietet. Um dem automatischen Boot-Vorgang zuvorzukommen, der nach einem sehr kurzen Zeitintervall beginnt, drückt man beim Erscheinen des Menüs die Leertaste. Anschließend gibt man "p" ein, so dass man nach dem Passwort für GRUB gefragt wird. Dieses ist identisch mit jenem von root. Per Voreinstellung lautet es "vmware", aber wenn man es in der VAMI geändert hat, benötigt man dieses.

    Nach dem Drücken der p-Taste gibt man das Kennwort für GRUB ein.

    Es liegt auf der Hand, dass man an dieser Stelle nicht mehr weiterkommt, wenn man sein root-Passwort vergessen hat. In diesem Fall muss man die von SuSE vorgeschlagene Prozedur versuchen, um über das Booten von einem externen Medium in den Single User Mode zu gelangen und von dort das Kennwort zu ändern.

    Ist aber bloß der root-Account wegen des abgelaufenen Passworts gesperrt, dann sollte man diese Hürde nehmen können. Im anschließend angezeigten Boot-Menü belässt man die Auswahl auf VMware vCenter Server Appliance und drückt "e" für edit. Im nächsten Bildschirm hebt man den zweiten Eintrag hervor, der die Boot-Parameter für den Kernel anzeigt.

    Wenn man den zweiten Eintrag editiert, dann kann man zusätzliche Boot-Parameter für den Linux-Kernel angeben.

    Boot-Parameter für den Kernel angeben

    Hier tippt man wieder "e" ein und ergänzt den vorhandenen Parameter usb audit=1 um init=/bin/bash. Nachdem das vCSA eine englische Tastaturbelegung hat, bereitet das Eingeben des Gleichheitszeichens und des Schrägstrichs Probleme. Ersteres bekommt man, wenn man das einfache Anführungszeichen links neben der Rücktaste drückt, und der Schrägstrich liegt auf der Taste für den Bindestrich.

    Man ergänzt den vorhandenen Parameter usb audit=1 um init=/bin/bash, um in die Shell zu booten.

    Nun schließt man den Vorgang mit der Return-Taste ab und startet das System mit der Eingabe von "b". Nach dem Starten des Systems landet man auf der Shell, wo man durch den Unix-Befehl

    passwd root

    das Kennwort ändern kann. Zum Abschluss startet man das System über das Kommando reboot neu.

    Gültigkeitsdauer für das Passwort ändern

    Nach erfolgreicher Anmeldung am VAMI sollte man nun einem weiteren Blockieren des root-Kontos vorbeugen. Der einfachste Weg dafür wäre die Verlängerung des Ablaufdatums für das Passwort. Dies kann man auf der Registerkarte Admin tun.

    Die voreingestellte 90-Tage-Frist für das root-Passwort kann man unter dem Admin-Tab ändern.

    Allerdings folgt VMware mit der vorgegebenen 90-Tage-Frist einer Best Practice für das Management von Kennwörtern. Problematisch bei ihrer Umsetzung im vCSA ist nur, dass man nach Überschreiten des Ablaufdatums keine Erklärung für die fehlgeschlagene Anmeldung und keine Möglichkeit zur Eingabe eines neuen Passworts erhält.

    Damit man nicht erneut vom Verstreichen der Frist überrascht wird, bietet VMware die Möglichkeit, sich rechtzeitig per Mail verständigen zu lassen. Die Adresse kann man direkt unter dem Feld für die Gültigkeitsdauer des Passworts eingeben.

    Wenn man sich über ein ablaufendes Passwort benachrichtigen lassen will, dann konfiguriert man den SMTP-Server im Web Client.

    Voraussetzung für den erfolgreichen Versand einer solchen Nachricht ist jedoch, dass man im vSphere Web Client den benötigten SMTP-Server konfiguriert. Diese Einstellung findet man unter vCenter => vCenter Server => <Name des vCenter Servers> => Verwalten => Einstellungen => E-Mail. Allerdings unterstützt VMware keine SMTP-Authentifizierung, so dass man die meisten Mail-Server nicht nutzen kann.

    2 Kommentare

    Bild von Ritze
    Ritze sagt:
    14. April 2015 - 8:47

    Wow, DANKE!!! Das hat mir gerade dem Start in den Arbeitstag doch sehr erleichtert ;-)

    Bild von Tom
    Tom sagt:
    29. August 2016 - 15:41

    Mann kann sich auch mit ssh auf das System verbinden und wird dort zum ändern des Passwortes aufgefordert. Erspart den Neustart.