ESXi 호스트 root, vCenter root, administrator Password 분실 시

1. vCenter root 패스워드 분실 시 (vCenter 8.0U2 환경)

1-1. root 패스워드 재설정 시 vCenter 백업 진행

(1) vCenter VM 루트 패스워드 재설정 이전 VM 스냅샷을 생성해 둔다.

 

 

 

 

1-2. vCenter ROOT 패스워드 재설정

(2) vCenter VM을 재부팅하고 Photon OS 로고가 나올 때 e키로 GNU GRUB에 접속해서 위와 같이 입력한다.

* rw init=/bin/bash

 

(3) 이후 F10 키를 눌러 재부팅을 계속 진행한다.

(4) 비밀번호를 변경하기 위해 아래와 같은 순서로 진행

 

 

(5) mount -o remount,rw /

 

(6) /usr/sbin/faillock --user root --reset

- 현재 환경에서는 8.0U2 이상이므로 위와 같이 입력하지만 더 아래 버전의 경우 pam_tally2 --user=root --reset으로 진행한다.

- 해당 명령의 경우 만약 잘못된 root 비밀번호를 연속적으로 입력하여 root 계정 잠금이 발생했을 때 이 부분을 해결하기 위한 커맨드이다. (따라서 선택사항)

 

(7) passwd root

    - New Password : 새로운 비밀번호 입력

 

(8) umount /

 

(9) reboot -f

 

 

 

 

1-3. (추가) vCenter 버전 차이에 따른 비밀번호 정책 관련

(1) 8.0 버전에서는 Dictionary word를 사용하거나, 연속된 숫자 등을 사용할 때 발생하는 Simplistic 정책 오류가 위와 같이 발생할 수 있다.

 

(2) 그러나 7.0 버전에서는 Dictionary word, Simplistic 문자를 사용해도 오류가 발생하지 않았다.

 

(3) 따라서 버전과 관계없이 좀 더 강력한 보안 정책을 갖는 비밀번호를 설정해야 할 것으로 확인된다. 

 

 

 

 

 

 

 

2. vCenter administrator 계정 패스워드 변경(분실이 아닌 단순 변경)

2-1. vCenter에서 직접 변경

(1) vCenter(vSphere Web Client)로 접속한 후 사용자 및 그룹으로 접속해서 특정 도메인에 대한 administrator 계정을 찾는다. 찾고 편집으로 접속한다.

 

 

 (2) 편집에서 계정 비밀번호를 재설정할 수 있다.

 

 

 

 

 

 

 

 

 

3. vCenter adminstrator 계정 패스워드를 분실한 경우

3-1. vCenter CLI에서 복구 필요 

(1)  vCenter CLI에서 다음 커맨드 입력

> /usr/lib/vmware-vmdir/bin/vdcadmintool

 

 

(2) 위와 같이 임시 비밀번호를 발급받게 된다.

 

(3) 발급 받은 이후 vCenter(vSphere Web Client)로 로그인하여 사용할 비밀번호를 직접 설정한다.

 

 

 

 

 

 

 

 

 

4. ESXi 호스트 Root 패스워드 분실 시

4-1. ESXi 호스트 프로파일로 복구

(1) VMware에서는 ESXi 호스트 패스워드 분실 시 ESXi 호스트 재배포를 권장하고 있지만, vCenter 기능 중 호스트 프로파일(Host Profile) 기능을 통해 호스트 root 계정 패스워드를 재설정할 수 있다.

 

(2) 해당 기능은 vSphere Enterpise 라이센스 이상을 보유하고 있어야 사용 가능하다.

 

 

(3) 호스트 > 호스트 프로파일 추출을 선택한다.

 

 

(4) 호스트 프로파일을 생성한다.

 

 

(5) 정책 및 프로파일 >  호스트 프로파일로 접속한다.

 

 

(6) 이전에 생성한 호스트 프로파일을 편집

 

 

(7) 호스트 프로파일 편집 > 보안 및 서비스 > 보안 설정 > 보안 > 사용자 구성 > root에서 고정 암호 구성을 통해 호스트에 대한 root 계정 비밀번호를 재설정한다.

 

 

(8) 변경사항 적용을 위해 호스트 프로파일을 연결한다. 작업 이전, 호스트를 유지 보수 모드로 설정한 후 진행한다.

 

 

(9) 이후 호스트 프로파일 연결 상태를 확인했다면 업데이트 적용을 눌러 변경사항을 반영한다.

 

 

(10) 변경사항 일괄 적용이 완료되면 수정한 비밀번호로 로그인할 수 있다.

 

(11) 설정 이후 호스트 프로파일을 분리시켜도 설정값에는 변화가 없다. 호스트 프로파일 연결(Attach)한다는 것은, 해당 프로파일을 참고해서 호스트의 구성 정보를 검증하거나 업데이트한다는 의미이고 분리(Detach)의 경우 호스트 프로파일과 연동을 해제한다는 뜻이기 때문에 이전에 설정하거나 동기화한 값들에 대해선 변화가 없다.

 

 

(1) Security.AccountLockFailures

- ESXi 호스트 패스워드 분실 상황

- vCenter에서 해당 파라미터 값을  0으로 설정해서 계정 잠금을 허용하지 않은 상태에서 관리자가 직접 수동으로 예상 가능한 패스워드를 전부 대입해서 찾는 방법

 

(2) Security.AccountUnlockTime

- 해당 파라미터는 최대 로그인 시도 횟수를 넘겼을 때 계정을 잠그는 기간(초)이다.