Vmware vsphere est le mot de passe par défaut. Réinitialisation du mot de passe root à l'aide d'Active Directory et de vCenter
Liste des noms d'utilisateur et mots de passe VMware par défaut
Voici une liste complète des noms d'utilisateur et mots de passe par défaut pour la plupart des produits VMware. Si vous êtes comme moi, vous avez tendance à confondre beaucoup d'entre eux. Si j'en ai oublié, faites-le moi savoir dans les commentaires.
mot de passe : 123456
le mot de passe par défaut de la console de gestion ADM est 123456 et le mot de passe CLI est ChangeMe
mot de passe : vmware
mot de passe : fourni lors du déploiement OVA
vCenter Log Insight
https://log_insight-host/
mot de passe : mot de passe spécifié lors de la configuration initiale
mot de passe : vmware
mot de passe : vmware
Pour vSphere 5.1 = nom d'utilisateur Windows par défaut : [courriel protégé]
Pour vSphere 5.1 = nom d'utilisateur par défaut Linux (appliance virtuelle) : [courriel protégé]
mot de passe : spécifié lors de l'installation
Ajout de l'authentification AD à VMware SSO 5.1
Pour vSphere 5.5 = nom d'utilisateur par défaut : [courriel protégé]
Configuration de l'appliance :
modifier le mot de passe racine de l'utilisateur Linux de l'appliance. Sinon, la première fois que vous essayez de vous connecter à la console Web de l'appliance, vous serez invité à modifier le mot de passe.
Configuration de l'orchestrateur :
nom d'utilisateur : vmware
Client d'orchestrateur :
nom d'utilisateur : vcoadmin
mot de passe : vcoadmin
Opérateur Web
nom d'utilisateur : vcoadmin
mot de passe : vcoadmin
vCenter Orchestrator pour Windows :
nom d'utilisateur : vmware
vCenter Orchestrator pour vCloud Automation Center (intégré) :
nom d'utilisateur : vmware
Dispositif d'identité vCloud Automation Center
Dispositif vCAC vCloud Automation Center
password : mot de passe fourni lors du déploiement de l'appliance
Nom d'utilisateur: [courriel protégé]
password : mot de passe SSO configuré lors du déploiement
vCloud Automation Center intégré vCenter Orchestrator
:
nom d'utilisateur : vmware
mot de passe : vmware (après la connexion initiale, ce mot de passe est modifié)
Nom d'utilisateur: [courriel protégé](ou le nom d'utilisateur de l'administrateur SSO)
mot de passe : mot de passe spécifié pour l'administrateur SSO lors du déploiement de vCAC-Identity
mot de passe : vmware
mot de passe : vmware
nom d'utilisateur : administrateur
mot de passe : spécifié lors de la configuration de l'assistant
Appareil vCloud Director
mot de passe : Par défaut0
OracleXEDDatabase
nom d'utilisateur : vcloud
mot de passe : vcloud
Mise en réseau et sécurité vCloud
mot de passe : par défaut
mot de passe : par défaut
Gestionnaire de récupération de site VMware :
nom d'utilisateur : nom d'utilisateur de l'administrateur vCenter
mot de passe : mot de passe administrateur vCenter
Gestionnaire vShield
mot de passe : par défaut
mot de passe : par défaut
root : spécifié lors du déploiement
mot de passe : spécifié lors du déploiement
mot de passe darwin_user : spécifié lors du déploiement
admin : spécifié lors du déploiement
mot de passe : spécifié lors du déploiement OVA
nom d'utilisateur : créé pendant l'assistant
mot de passe : créé pendant qizard
vFabric Hyperic vApp
mot de passe : hqadmin
nom d'utilisateur : identifiants Windows
mot de passe : identifiants Windows
Dispositif de protection des données vSphere
https://:8543/vdp-configure/
mot de passe : change moi
mot de passe : vous avez configuré le mot de passe racine lors du déploiement OVF du dispositif vSphere Replication
Console d'administration de l'appliance Zimbra
nom d'utilisateur : vmware
mot de passe : configuré lors de la configuration de l'assistant
VMware propose de nombreuses appliances pour ses produits. Malheureusement, ils ne sont pas tous créés de la même manière. Les procédures d'installation et de configuration diffèrent pour la plupart des appliances et les noms d'utilisateur et mots de passe par défaut sont également différents dans toute la gamme d'appliances. Voici donc une liste de noms d'utilisateur et de mots de passe par défaut. Pour autant que je les connaisse, si vous en manquez un, faites-le moi savoir et je l'ajouterai à cette liste.
Nom de l'appliance (toutes versions sauf indication contraire) mot de passe utilisateur
Vmware racine de vCenter Server Appliance
Changer la racine de vSphere Data Protection
vSphere Management Assistant vi-admin vmware
Utilisateur administratif de l'appliance vCenter Operations Manager pour l'administrateur de connexion à l'interface utilisateur
Utilisateur racine de l'appliance vCenter Operations Manager root vmware
Administrateur vShield Manager par défaut
Racine vSphere Replication<*>
vCloud Director 5.5 racine/invité<*>
vCloud Connector (serveur et nœud) admin vmware
Horizon Workspace racine/administrateur<*>
Configuration du dispositif vCenter Orchestrator vmware<*>
<*>pour certaines appliances, vous configurez le mot de passe lors du déploiement OVA ou OVF.
Les mots de passe sont les choses que les gens ont tendance à oublier. Eh bien, les mots de passe root ESXi ne font pas exception non plus ! Sans le mot de passe root, vous perdez le contrôle de vos hôtes, il est donc bon de savoir comment le réinitialiser. Eh bien, la réinitialisation d'un mot de passe d'hôte ESXi est la chose dont je vais parler dans cet article.
Vous voulez savoir pourquoi j'ai écrit cet article ? Je veux aider d'autres administrateurs VMware. Vous voyez, quand des choses comme ça se produisent, la première chose que vous faites, c'est de consulter une documentation officielle, n'est-ce pas ? Malheureusement, la seule chose que VMware conseille pour réinitialiser les mots de passe est de réinstaller le système d'exploitation. Pas drôle! Et si je ne veux pas (ou ne peux pas) le faire ? Dans cet article, je cherche une meilleure façon de réinitialiser le mot de passe.
Pour cet article, j'utilise ESXi 6.7.0, 8169922, mais tout ce que j'écris ici fonctionne bien pour les versions ESXi 6.x ou 5.x. Certaines méthodes pour réinitialiser les mots de passe peuvent être assez risquées. Donc, ne me blâmez pas au cas où vous gâcheriez les choses.
Quelques découvertes théoriques
Après avoir réfléchi à certains cas de perte de mots de passe, j'ai réalisé que ces deux scénarios sont assez courants : vous avez oublié le mot de passe, mais vous pouvez toujours accéder aux hôtes via vCenter, et vous avez perdu le mot de passe de l'hôte autonome ESXi et il n'y a aucun moyen d'y accéder.
Eh bien, le dernier semble vraiment difficile. Mais, je vais vous apprendre aujourd'hui comment restaurer le mot de passe dans les deux cas.
Changer le pass avec vCenter
Commençons par un scénario brillant : vous avez oublié le mot de passe racine ESXi, mais vCenter est installé. Je dirais que c'est un problème assez courant. Les administrateurs gèrent l'hôte via vCenter, mais un jour, ils perdent le mot de passe. Heureusement, ce n'est pas un gros problème pour restaurer le mot de passe.
Voyons d'abord comment changer le mot de passe via le flash vCenter Webclient. Notez que les choses que j'écris ici ne fonctionnent pas en html ! Notez également que vous avez besoin que votre édition ESXi ne soit pas inférieure à Enterprise Plus.
Pour réinitialiser le mot de passe, vous devez extraire, modifier et télécharger le profil d'hôte. Voici comment procéder.
Accédez à vCenter et extrayez le profil d'hôte exactement comme je le fais dans la capture d'écran ci-dessous.
Lors de l'extraction, spécifiez le nom d'hôte et ajoutez une description si nécessaire.
Vérifiez les informations saisies et appuyez sur Finir.
Dans vCenter, accédez à l'onglet Accueil et accédez à Profils d'hôte.
Cliquez avec le bouton droit sur le profil d'hôte et modifiez ses paramètres.
Là, vous pouvez spécifier le nouveau nom et la description si nécessaire.
Une fois que vous avez terminé de modifier le nom et la description de l'hôte, accédez à la Modifier le profil de l'hôte onglet lui-même. En fait, vous pouvez y modifier un tas de paramètres, mais restons-en au plan initial et ne changeons que le mot de passe root, d'accord ? Pour accomplir cette tâche, tapez le nouveau mot de passe et confirmez-le dans les champs éponymes.
Félicitations, vous avez changé le mot de passe ! Ajoutons maintenant l'hôte au cluster et appliquons les paramètres.
Dans le Attacher/Détacher des hôtes et des clusters menu, sélectionnez l'hôte dont vous avez modifié le mot de passe. À ce stade, je voudrais mentionner que vous pouvez appliquer les modifications à plusieurs hôtes.
Juste après avoir ajouté l'hôte, vous pouvez jouer avec les paramètres réseau, si vous en avez besoin. Eh bien, vous pouvez simplement cliquer Finir pour que les paramètres soient appliqués.
Ensuite, vous devez mettre le nœud en mode maintenance, sinon vous ne pourrez appliquer aucun paramètre !
Confirmez la mise de l'hôte sélectionné (ou des hôtes, peu importe) en mode maintenance. Notez que vous devez migrer vos machines virtuelles, sauf si vous pouvez les arrêter pendant un certain temps. Dans mon cas, il n'y a pas de machines virtuelles critiques sur l'hôte, donc je les ai juste éteintes au préalable.
Maintenant, revenez à l'onglet Objets et, enfin, implémentez les paramètres de l'hôte. Cliquez avec le bouton droit sur le profil d'hôte et appuyez sur Corriger.
Sélectionnez l'hôte requis.
Vérifiez tous les paramètres et vérifiez si vous pouvez appliquer les modifications. Presse Finir.
Après le redémarrage de l'hôte, quittez le mode de maintenance.
Maintenant, vérifions si la réinitialisation du mot de passe s'est bien déroulée. Pour cela, connectez-vous au nœud ESXi via la console Web, ou au terminal en utilisant le nouveau mot de passe.
Réinitialisation du mot de passe root à l'aide d'Active Directory et de vCenter
Vous pouvez également modifier le mot de passe dans vCenter à l'aide d'Active Directory. Vous voyez, si vous pouvez ajouter l'hôte ESXi au domaine, vous pouvez utiliser les informations d'identification du domaine pour accéder au nœud et réinitialiser le mot de passe racine. Voici comment procéder.
Allez à la Utilisateurs AD et ordinateurs sur le contrôleur de domaine et créez un nouveau groupe de travail - ESX Admins. Assurez-vous d'utiliser exactement ce nom pour le groupe de travail. Ajoutez à ce groupe un nouvel utilisateur que vous utiliserez plus tard pour réinitialiser le mot de passe. Eh bien, cela peut en fait être n'importe quel utilisateur, mais j'ai décidé d'en créer un nouveau - TestUser.
Ajoutez l'hôte avec le mot de passe oublié au domaine.
Ensuite, essayez de vous connecter à l'hôte ESXi avec les informations d'identification TestUser. Voici comment spécifier le nom d'utilisateur : ou Domaine\Utilisateur.
Une fois connecté à l'hôte, accédez au Sécurité & utilisateurs onglet pour réinitialiser le mot de passe root.
A partir de maintenant, vous pouvez utiliser le nouveau mot de passe root ! N'oubliez pas de quitter le domaine si vous n'avez plus besoin que l'hôte soit dans le domaine.
Pour appliquer les modifications, redémarrez l'hôte.
Notez que changer le mot de passe avec vCenter est assez facile, mais VMware ne le recommande pas pour une raison quelconque après tout.
Réinitialisation du mot de passe root sur les hôtes ESXi autonomes
Maintenant que nous savons comment réinitialiser le mot de passe avec vCenter, examinons quelques cas difficiles. Disons que vCenter n'est pas installé sur l'hôte. Encore une fois, je ne veux pas réinstaller l'OS du serveur comme le dit VMware. Sérieusement, ce n'est pas amusant ! Regardons plutôt quelque chose de plus intéressant. Eh bien, disons, qu'en est-il de changer le mot de passe directement sur le nœud lui-même ?
Avant de commencer, je voudrais mentionner que vous ne pourrez pas tromper la sécurité ESXi et changer le mot de passe root sur le nœud sans l'arrêter. Cela signifie que, que vous le vouliez ou non, vous devez arrêter chaque machine virtuelle de l'intérieur ! Si vous vous trompez, vous ne pourrez pas démarrer les machines virtuelles sans réinstaller ESXi.
En outre, vous devez démarrer l'image du CD. J'ai utilisé Ubuntu GNOME dans cet article. Découvrez comment créer un CD de démarrage et télécharger Ubuntu GNOME. Vous avez également besoin de Rufus pour écrire l'image du CD de démarrage sur le lecteur flash.
Vous devez donc démarrer à partir du disque flash, monter la banque de données ESXi requise, décompresser l'archive et modifier le fichier avec des mots de passe. Ensuite, vous téléchargez à nouveau le fichier dans le répertoire initial et, après avoir redémarré l'hôte, vous pouvez y accéder sans le mot de passe.
Modification du fichier "ombre"
Qu'est-ce que "l'ombre" ?
Pour des raisons de sécurité, ESXi conserve les mots de passe cryptés dans un fichier… peu importe, voici comment vous pouvez toujours réinitialiser le mot de passe. Selon certaines sources non officielles, ce fichier s'appelle « shadow ». Vous pouvez le trouver dans l'un de ces volumes de démarrage dans le /etc annuaire. Avant le démarrage de l'hôte, /etc se trouve dans l'archive local.tgz. Voici le chemin : /etc => local.tgz => state.tgz. Vous pouvez le trouver dans l'un de ces volumes de démarrage dans le /etc annuaire. Avant le démarrage de l'hôte, /etc se trouve dans l'archive local.tgz. Voici le chemin : state.tgz => local.tgz => /etc.
Voici comment le disque est formaté dans ESXi 6.0 ou supérieur :
| nom du volume | Pourquoi est-ce? | Taille du volume dans mon cas |
| /dev/sda1 | Démarre le système | 4 Mo |
| /dev/sda2 : /scratch : | Volume système créé lors de l'installation d'ESXi sur le disque de plus de 5 Go. | 4 GO |
| /dev/sda3 : magasin de données VMFS : | Représente tout l'espace disque restant | |
| /dev/sda5 : /bootbank : | L'image ESXi | 250 Mo |
| /dev/sda6 : /altrbootbank : | Image de l'ancienne version du système. Vous le verrez comme un volume vide si vous n'avez jamais mis à jour le système | 250 Mo |
| /dev/sda7 : vmkDiagnostic (le premier volume) | Conserver le vidage mémoire | 110 Mo |
| /dev/sda8 : /store | Image des outils VMware | 286 Mo |
| /dev/sda9 : vmkDiagnostic (le deuxième volume) | Conserve toutes les informations liées aux diagnostics vSAN. Vous pouvez observer ce volume uniquement dans les datastores de plus de 8 Go | 2,5 Go |
Parmi tous ces volumes, nous n'avons besoin que de celui de /bootbank car il conserve l'archive ESXi. De cette façon, "l'ombre" devrait être quelque part là-bas.
Chasser "l'ombre"
Alors, démarrons d'abord l'hôte à partir du disque flash et démarrons le terminal.
Exécutez l'applet de commande suivante pour acquérir les privilèges root :
# sudo su
Parcourez les noms de disque et trouvez celui dont vous avez besoin.
# fdisk –l | grep/dev/sda
Eh bien, il semble que nous ayons besoin de ce répertoire /dev/sda5 de 250 Mo. Créez le répertoire mnt.
# mkdir /mnt/sda5
Créez maintenant le répertoire des fichiers temporaires.
# mkdir /temp
Et montez le répertoire /dev/sda5 à l'aide de l'applet de commande ci-dessous.
# monter /dev/sda5 /mnt/sda5
Maintenant, cherchez ça état.tgz archive dont je parlais plus haut.
# ls -l /mnt/sda5/state.tgz
Extraire les deux état.tgz et local.tgz. Voici les commandes que vous pouvez utiliser à cette fin :
Une fois que vous avez terminé le déballage, débarrassez-vous de ces anciennes archives avec l'applet de commande ci-dessous :
#rm /temp/*.tgz
Maintenant, vous êtes prêt à faire de la magie avec "l'ombre". Ouvrez le fichier, modifiez-le et fermez-le. Aussi simple que ça! Pour revérifier les modifications, ouvrez le fichier une fois de plus.
#vi /temp/etc/ombre
En fait, voici à quoi ressemble "l'ombre" à l'intérieur. Voir, il contient tous les mots de passe des utilisateurs.
Pour réinitialiser le mot de passe, supprimez simplement tout ce qui se trouve entre les doubles-points. Rappelez-vous, tout est crypté ? C'est pourquoi les mots de passe ont l'air si bizarres.
#vi /temp/etc/ombre
Ensuite, allez dans le répertoire de travail.
# cd / temp
Maintenant, ajoutez "l'ombre" à l'archive.
# tar -czf local.tgz etc.
Déplacez la nouvelle archive dans le répertoire initial.
# mv state.tgz /mnt/sda5/
Démontez le disque /sda5 avec l'applet de commande ci-dessous :
# umount /mnt/sda5
Et, éventuellement, redémarrez l'hôte.
# redémarrage
Eh bien, pour rendre les choses que je viens d'écrire ci-dessus plus conviviales pour les lecteurs, voici toutes les commandes dont vous avez besoin pour déployer étape par étape.
Eh bien, vous y êtes presque. Redémarrez le serveur maintenant et essayez d'accéder à l'hôte sans mot de passe. Eh bien, regarde ce que j'ai.
Maintenant, sélectionnez Configurer le mot de passe, et saisissez un nouveau mot de passe dans le champ éponyme.
Ok, cette fois, veuillez écrire le mot de passe root, ou essayez simplement de ne pas l'oublier !
Remplacer une "ombre" par une autre
Il existe un autre moyen de réinitialiser le mot de passe root ESXi en utilisant "shadow". En fait, ce n'est rien de plus qu'une variante de la méthode que j'ai décrite ci-dessus.
Donc, une autre chose que vous pouvez faire pour réinitialiser le mot de passe ESXi est simplement d'utiliser un autre fichier « shadow » d'hôte ! Oui, vous pouvez simplement copier le fichier « shadow » d'un autre hôte ESXi avec le mot de passe root connu sur le disque flash supplémentaire. Pour obtenir le fichier avec les mots de passe d'un autre hôte, vous avez besoin de WinSCP. L'utilitaire est disponible. La bonne chose est que vous pouvez récupérer ce fichier à partir de l'hôte avec le mot de passe racine ESXi connu sans même l'arrêter.
Ensuite, appelez le terminal avec Ubuntu GNOME et réinitialisez le mot de passe.
Mettez d'abord à jour les privilèges de l'utilisateur en tant que root. Vous pouvez exécuter la commande suivante à cette fin :
# sudo su
Voyons maintenant ce que vous avez sur le disque.
# fdisk –l | grep sd
Créez deux volumes temporaires ultérieurement.
# mkdir /mnt/sda5
# mkdir /mnt/sdb1
Montez le disque ESXi et le disque flash où réside le « shadow » à l'aide de l'applet de commande suivante.
# monter /dev/sda5 /mnt/sda5
# monter /dev/sdb1 /mnt/sdb1
Maintenant, créez le volume temporaire pour un travail ultérieur avec les archives.
# mkdir /temp
Créez le volume où vous allez conserver la copie state.tgz au cas où quelque chose tournerait mal.
# mkdir /mnt/sdb1/save
Trouvez le fichier nécessaire dans l'archive.
# ls -l /mnt/sda5/state.tgz
Copiez l'archive.
# cp /mnt/sda5/state.tgz /mnt/sdb1/save
Exécutez la commande suivante pour vérifier si le fichier a été copié :
# ls -l /mnt/sdb1/save
Extrayez state.tgz à l'aide de l'applet de commande ci-dessous :
# tar -xf /mnt/sda5/state.tgz -C /temp/
Trouvez le fichier temporaire.
# ls -l /temp
Extraire local.tgz.
# tar -xf /temp/local.tgz -C /temp/
Assurez-vous d'extraire le répertoire /etc.
# ls -l /temp
Maintenant, supprimez le volume local.tgz pour vous assurer qu'il ne sera pas inclus dans la nouvelle archive par accident.
# rm /temp/local.tgz
Recherchez « shadow » dans le répertoire /etc.
# ls -l /temp/etc
Remplacez le « shadow » d'origine par celui de l'hôte avec un mot de passe root connu. Tapez l'applet de commande suivante :
# cp /mnt/sdb1/shadow /temp/etc
Maintenant, déployez la commande suivante pour ouvrir le fichier et parcourir les informations d'identification enregistrées.
#vi /temp/etc/ombre
Si vous ne voulez pas que certains utilisateurs accèdent à l'hôte, allez-y et supprimez-les simplement de la liste ! Ici, j'ai supprimé Test des utilisateurs pouvant accéder à l'hôte. Attendez, pourquoi ai-je supprimé uniquement Test ? À ce stade, je voudrais vous mettre en garde contre la suppression d'utilisateurs que vous ne connaissez pas. Dans mon cas, tous les utilisateurs à l'exception de Test sont des utilisateurs système. Si vous supprimez l'un de ces gars, vous risquez de déstabiliser le système d'exploitation !
Voici à quoi ressemble le fichier "shadow": une fois l'utilisateur inutile.
Vérifiez si toutes les modifications ont été appliquées.
#vi /temp/etc/ombre
Tapez la ligne suivante pour accéder au répertoire /temp.
# cd / temp
Archivez le répertoire /etc.
# tar -czf local.tgz etc.
Vérifiez si l'archivage s'est déroulé correctement.
# ls -l /temp/
Maintenant, créez le volume state.tgz.
# tar -czf état.tgz local.tgz
Encore une fois, vérifiez si le volume a été créé.
# ls -l /temp/
Déplacez l'archive vers le répertoire ESXi de travail.
# mv state.tgz /mnt/sda5/
Vérifiez le résultat une fois de plus.
# ls -l /mnt/sda5/
Démontez le répertoire sda5.
# umount /mnt/sda5
Finalement, redémarrez l'hôte.
# redémarrage
Apprécier! Si tout est fait correctement, vous pouvez accéder à l'hôte avec le mot de passe connu. Eh bien, pour rendre tout plus ou moins pratique, voici l'ensemble des commandes que j'ai utilisées pour cette méthode.
Si l'hôte commence à agir bizarrement après le redémarrage, il y a toujours une copie du state.tgz initial. Eh bien, ça devrait l'être. Vous pouvez monter à la fois /sda5 et /sdb1 et récupérer le state.tgz d'origine à l'aide de l'applet de commande suivante… et réessayer !
# cp /mnt/sdb1/save/state.tgz /mnt/sda5/
Conclusion
Aujourd'hui, j'ai discuté de quatre façons de réinitialiser un mot de passe racine d'hôte ESXi. La première méthode est la plus simple et fonctionne à merveille si vCenter est installé. S'il n'y a pas de vCenter, vous pouvez toujours réinitialiser le mot de passe, mais le fait est que les deux dernières méthodes décrites ici sont un peu risquées. Surtout, vous devriez être très prudent avec le dernier. Si l'un des utilisateurs du système est supprimé, vous allez bousiller le système d'exploitation. Alors, soyez intelligent et ne supprimez pas les utilisateurs que vous ne reconnaissez pas.
Comme c'est généralement le cas avec les mots de passe, vous pouvez perdre, oublier le mot de passe, renvoyer le seul employé qui le connaissait, et bien plus encore. Que faire s'il s'agissait du mot de passe root sur VMware ESX Server ? Comment pouvez-vous le réinitialiser? Lisez la suite pour savoir ce qui peut être fait.
1. Redémarrez le serveur VMware ESX
Si vous ne connaissez pas le mot de passe root de votre serveur VMware ESX et que vous n'avez pas de mots de passe pour des comptes root équivalents, la première chose à faire est de redémarrer VMware ESX Server.
2. Appuyez sur "a" pour modifier le démarrage du noyau
Une fois le menu GRUB apparu, appuyez sur "a" pour modifier le boot :
3. Nous entrons en mode mono-utilisateur
À la fin de la ligne d'argument du noyau, tapez "single" et appuyez sur Entrée :
4. Changez le mot de passe
Nous pouvons maintenant changer le mot de passe root à l'aide de la commande passwd :
Vous devez entrer un nouveau mot de passe deux fois.
5. Redémarrez le serveur ESX
Après avoir changé le mot de passe, redémarrez le serveur pour revenir en mode multi-utilisateur.
Si vous oubliez ou perdez le mot de passe racine d'un hôte ESXi, vous risquez d'en perdre le contrôle et de ne pas pouvoir vous connecter à sa console en cas de problèmes de système d'exploitation ou si vous devez exécuter des diagnostics sur l'hôte. Dans cet article, je vais montrer 4 façons différentes de réinitialiser un mot de passe root oublié sur un hôte VMware ESXi version 6.7. La méthode de réinitialisation du mot de passe s'applique aux versions ESXi 6.x et 5.x ().
Du point de vue de VMWare, le seul Le droit chemin réinitialiser le mot de passe root sur l'hôte ESXi - réinstaller le système d'exploitation (mais cela entraîne la perte de configuration et de données sur les disques locaux). Toutes les autres méthodes peuvent entraîner l'échec de l'hôte ou placer le système dans une configuration non prise en charge, comme ESXi n'a pas de console de service et vous ne pouvez pas réinitialiser le mot de passe en mode mono-utilisateur comme sous Linux.
Supposons que vous ayez oublié le mot de passe root de l'un de vos hôtes ESXi. Dans ce cas, 2 scénarios sont possibles :
- votre hôte est ajouté à vCenter et vous pouvez toujours le gérer
- vous avez oublié le mot de passe de l'hôte autonome ESXi (ou de l'édition gratuite de VMware)
Réinitialisation d'un mot de passe ESXi à l'aide du profil d'hôte VMware
La plupart des hôtes ESXi des grandes entreprises sont gérés via vCenter Server. Même si vous oubliez votre mot de passe root, vCenter peut gérer les paramètres de l'hôte sans aucun problème. vous avez déjà lié l'hôte au vCenter et vous n'avez tout simplement pas besoin du mot de passe root. Si vous supprimez l'hôte de vCenter (mieux vaut ne pas le faire) et essayez de l'ajouter à nouveau, vous devrez fournir le mot de passe root. Par conséquent, tant que votre hôte est géré par vCenter, vous pouvez réinitialiser le mot de passe root à l'aide du profil d'hôte VMware.
Un profil d'hôte est un ensemble de paramètres ESXi que vous définissez et qui peuvent être appliqués à n'importe quel hôte pour le configurer rapidement. Généralement, un profil d'hôte est créé après la configuration d'un hôte ESXi générique et l'exportation de sa configuration vers un profil d'hôte. L'administrateur peut appliquer ce profil à n'importe quel autre hôte.
- Lancez vSphere Web Client et connectez-vous à vCenter.
- Au page d'accueil sélectionnez le profil d'hôte
- Cliquez sur le bouton Extraire le profil d'un hôte vers extrayez le profil d'hôte ESXi avec le mot de passe root que vous connaissez.
- Sélectionnez l'hôte ESXi et cliquez sur Suivant.
- Spécifiez le nom du profil (il est souhaitable de spécifier également sa description).
- Après nouveau profile créé, modifiez-le.
- À l'aide de la recherche intégrée, recherchez le paramètre nommé root (situé sous Sécurité et services -> Paramètres de sécurité -> Sécurité -> Configuration utilisateur -> Racine). Choisis une option "Configuration du mot de passe fixe" et fournissez un nouveau mot de passe root.
- Tous les autres paramètres du profil doivent être désactivés. Cliquez sur Terminer.
- Vous devez maintenant lier ce profil à votre hôte ESXi sur lequel vous souhaitez réinitialiser le mot de passe. Dans le menu Actions, choisissez Attacher/Détacher des hôtes.
- Sélectionnez votre hôte ESXi (sur lequel vous souhaitez réinitialiser le mot de passe) et cliquez sur le bouton Attacher.
- Allez dans l'onglet Profil d'hôte -> Moniteur -> Conformité et appuyez sur le bouton Corriger.
- Une fois la vérification terminée, les nouveaux paramètres seront appliqués à l'hôte et celui-ci aura un statut de réclamation (c'est-à-dire que la configuration de l'hôte correspond au profil attribué). Dans les versions précédentes d'ESXi, afin d'appliquer un profil à un hôte, il doit être mis en mode maintenance (Maintenance Mode), et l'hôte devra également être redémarré.
- C'est tout, le mot de passe root sur l'hôte a été changé. N'oubliez pas de dissocier le profil de l'hôte.
Réinitialisation du mot de passe root à l'aide d'Active Directory et de vCenter
Vous pouvez également réinitialiser le mot de passe racine sur un hôte ESXi en utilisant vCenter pour ajouter votre hôte à un domaine Active Directory. Après avoir inclus ESXi dans le domaine, vous pouvez vous y connecter à l'aide d'un compte de domaine et réinitialiser le mot de passe utilisateur local racine.
Exécutez un clin d'œil Utilisateurs et ordinateurs Active Directory et créez-en un nouveau nommé ESX Admins (c'est le nom du groupe). compte utilisateur dont vous connaissez le mot de passe.
Nous devons maintenant ajouter l'hôte au domaine. Dans la console vCenter, sélectionnez l'hôte, accédez à Configurer -> Services d'authentification -> Joindre le domaine. Spécifiez un nom de domaine et un compte avec des droits pour ajouter des ordinateurs au domaine.
Ouvrez maintenant l'interface Web de votre hôte ESXi et connectez-vous avec le compte que vous avez ajouté (le nom du compte doit être spécifié au format [courriel protégé] ou Domaine\Utilisateur).
Après cela, vous pouvez exclure ESXi du domaine (Quitter le domaine).
Redémarrez l'hôte pour appliquer les modifications.
Réinitialisation du mot de passe root sur un seul hôte ESXi
Dans cette section, nous allons vous montrer comment réinitialiser le mot de passe root sur un serveur ESXi autonome qui n'est pas ajouté à vCenter. Cette méthode de réinitialisation de mot de passe vous demandera de redémarrer l'hôte et d'arrêter toutes les machines virtuelles qui y sont exécutées. Pour réinitialiser, vous avez besoin disque de démarrage, par exemple, image iso d'Ubuntu GNOME. Cette image vous devez écrire sur une clé USB, ce qui peut être fait.
Ensuite, vous devez démarrer ESXi à partir de ce lecteur flash, connecter le stockage local à partir de l'hôte ESXi, décompresser l'archive et modifier le fichier de mot de passe. Ensuite, vous devez remplacer le fichier, redémarrer l'hôte et essayer de vous connecter à ESXi sous le compte root avec un mot de passe vide.
Réinitialiser le mot de passe ESXi dans le fichier shadow
Pour des raisons de sécurité, l'hôte ESXi stocke le mot de passe sous forme chiffrée dans shadow. Nous devons changer le mot de passe root dans ce fichier. Parmi toutes les partitions sur l'hôte ESXi, nous n'avons besoin que de /dev/sda5 (/bootbank). C'est dans cette section du disque que l'image et la configuration du système d'exploitation sont stockées.
Après avoir démarré à partir du lecteur flash amorçable, exécutez la commande :
Listons les disques :
# fdisk –l | grep /dev/sda*
Nous avons besoin d'une partition /dev/sda5 de 250 Mo. Créez un point de montage :
# mkdir /mnt/sda5
Créez un répertoire temporaire :
Montez la partition /dev/sda5 :
# monter /dev/sda5 /mnt/sda5
Nous avons besoin d'un fichier d'archive nommé état.tgz(à l'intérieur se trouve le fichier local.tgz dont nous avons besoin):
# ls -l /mnt/sda5/state.tgz
Décompressez les fichiers état.tgz et local.tgz :
Les fichiers d'archive peuvent désormais être supprimés :
#rm /temp/.tgz
Un fichier fantôme doit apparaître dans le répertoire temporaire. Ouvrez le fichier avec n'importe quel éditeur de texte:
#vi /temp/etc/ombre
Voici à quoi ressemble le contenu des fichiers fantômes. Comme vous pouvez le voir, il contient tous les comptes locaux et leurs mots de passe (cryptés) :
Pour réinitialiser le mot de passe root à vide, supprimez simplement tout ce qui se trouve entre les deux premiers points et enregistrez le fichier.
Allez dans le répertoire : # cd /temp
Maintenant, nous devons emballer le fichier shadow dans l'ordre inverse :
# tar -czf local.tgz etc.
Déplacez maintenant la nouvelle archive vers le répertoire d'image ESXi d'origine :
# mv state.tgz /mnt/sda5/
Démontez la partition :
# umount /mnt/sda5
Vous pouvez maintenant redémarrer l'hôte :
Au démarrage, ESXi décompressera l'archive local.tgz et copiera les fichiers de configuration (y compris shadow) dans le répertoire /etc/. Essayez de vous connecter au serveur via DCUI sans mot de passe. Le système indiquera que le mot de passe root n'est pas défini et doit être modifié pour des raisons de sécurité.
Sélectionnez un élément de menu Configurer le mot de passe et entrez un nouveau mot de passe.
Remplacement du mot de passe dans le fichier shadow
Comme alternative à la méthode ci-dessus de réinitialisation d'un mot de passe sur un hôte ESXi, vous pouvez remplacer le fichier shadow par un fichier d'un autre hôte ESXi (avec un mot de passe connu) au lieu de le réinitialiser. Vous pouvez observer un autre hôte ESXi sur votre clé USB amorçable.
Démarrez votre hôte ESXi à partir de votre clé USB amorçable disque (dans mon exemple, il s'agit d'Ubuntu GNOME). Et exécutez les commandes suivantes :
Listons les disques :
# fdisk –l | grep sd
Créons deux dossiers temporaires.
# mkdir /mnt/sda5
# mkdir /mnt/sdb1
Montez la partition avec l'image ESXi et votre clé USB, sur laquelle se trouve le fichier shadow copié depuis un autre hôte :
# monter /dev/sda5 /mnt/sda5
# monter /dev/sdb1 /mnt/sdb1
Créez des répertoires temporaires :
# mkdir /temp
# mkdir /mnt/sdb1/save
Recherchez le fichier souhaité dans l'archive :
# ls -l /mnt/sda5/state.tgz
Copier l'archive :
# cp /mnt/sda5/state.tgz /mnt/sdb1/save
Décompressez les archives :
# tar -xf /mnt/sda5/state.tgz -C /temp/
# tar -xf /temp/local.tgz -C /temp/
Assurez-vous de décompresser le répertoire /etc.
Supprimez l'archive local.tgz.
# rm /temp/local.tgz
Remplacer fichier d'origine shadow à celui que vous avez copié depuis un autre hôte :
# cp /mnt/sdb1/shadow /temp/etc
Vous pouvez voir le contenu de l'ombre.
#vi /temp/etc/ombre
Supprimez les comptes supplémentaires dont vous n'avez pas besoin (à l'exception des comptes standard). Dans mon exemple, je supprimerai l'utilisateur Test. Enregistrez le fichier fantôme.
Compressons le contenu du répertoire /etc.
# tar -czf local.tgz etc.
# tar -czf état.tgz local.tgz
Copiez l'archive state.tgz sur la partition avec l'image ESXi :
# mv state.tgz /mnt/sda5/
Démontez la partition sda5 :
# umount /mnt/sda5
Redémarrez l'hôte :
30/05/2011fdisk -l(regardez les partitions FAT16 appropriées où nous avons le chargeur de démarrage)
ls -l /mnt/sda5/(primaire, monté en tant que /bootbank au démarrage)
ls -l /mnt/sda6/(sauvegarde, montée en tant que /altbootbank au démarrage)
Dans le cas d'une installation propre d'ESXi, l'image sera la suivante :
Nous sommes intéressés par le dossier état.tgz- tout ce dont nous avons besoin est là. Si vous avez ESXi Embedded, vous avez besoin du fichier local.tgz(qui dans le premier cas est à l'intérieur état.tgz).
Déballer d'abord état.tgz, et alors local.tgz commandes gzip et tar dans un répertoire temporaire. Allez ensuite dans le dossier /etc et ouvrez le fichier dedans ombre commande:
vi ombre
Vous ouvrirez quelque chose comme ceci :
Maintenant, regardez l'image ci-dessous, nous supprimons le hachage du mot de passe de ce fichier :
Autrement dit, nous supprimons tout ce qui se trouve entre les deux deux-points. Quittez le fichier et enregistrez.
Maintenant, nous remballons tout cela, pour lequel nous exécutons la commande suivante dans le dossier temporaire (vous devez y aller depuis /etc) (mettez à jour l'archive avec le dossier modifié):
tar -czvf local.tgz etc.
Si vous utilisez ESXi Embedded, placez le fichier local.tgz à l'endroit où vous l'avez obtenu. Si ESXi normal - mettez à nouveau l'archive à jour :
tar -czvf état.tgz local.tgz
Et copiez également à l'endroit où il se trouve:
Nous redémarrons le serveur et démarrons déjà dans VMware ESXi. On voit cette image :
Cela signifie que tout a fonctionné. Nous pouvons maintenant nous connecter à la console en tant qu'utilisateur root avec un mot de passe vide. Voici un moyen simple de réinitialiser un mot de passe sur un hôte VMware ESXi.
Veuillez activer JavaScript pour afficher le
