Als je ooit je root-wachtwoord op VMware ESXi bent vergeten, weet je hoe frustrerend dat kan zijn. De officiële oplossing is meestal een volledige herinstallatie, wat nogal overdreven lijkt als je alleen maar snel weer toegang wilt. Want, zoals de documentatie van VMware aangeeft, is de enige ondersteunde manier om het root-wachtwoord te resetten een volledige herinstallatie ( hier is de link ).Maar het is nogal vervelend om al je instellingen en VM’s kwijt te raken alleen om het wachtwoord te herstellen, vooral als je niet alles helemaal opnieuw wilt configureren. Gelukkig is er een minder drastische optie: een Linux LiveCD gebruiken om in te breken in de host en het wachtwoord te wijzigen. Niet zo eenvoudig als een snelle BIOS-reset, maar zeker mogelijk – en in sommige configuraties werkt het perfect. Het is weliswaar wat technisch en vereist het mounten van partities en het bewerken van bestanden, maar als je vertrouwd bent met terminalopdrachten, kun je je root-wachtwoord terugkrijgen zonder te herinstalleren. En hé, nog een optie als je vCenter met Enterprise Plus-licenties gebruikt? Je kunt het wachtwoord via VMware Host Profiles resetten, zonder dat je de computer opnieuw hoeft op te starten. Maar laten we beginnen met de live-diskmethode, omdat die vrij algemeen toepasbaar is.
Hoe u het ESXi-wachtwoord kunt resetten met behulp van een Linux Live CD
Deze methode is gebaseerd op het bewerken van het shadow-bestand waarin Linux- en Unix-systemen de hashes van gebruikerswachtwoorden opslaan. De wachtwoorden van ESXi worden opgeslagen in /etc/shadow in de VMFS- of NFS-opslag, wat betekent dat u deze bestanden moet mounten en aanpassen. De reden dat het werkt, is dat u door de hash te wissen of te vervangen, het wachtwoord in feite leegmaakt, waardoor u weer toegang krijgt. Het is een beetje vreemd, maar het is een manier om de officiële beperking te omzeilen. Wees gewaarschuwd: dit wordt niet officieel ondersteund, dus doe dit op eigen risico en maak indien mogelijk altijd back-ups.
Het basisidee: start op vanaf een Linux-herstelschijf, zoek je ESXi-partities, koppel ze, navigeer vervolgens naar het /etc/shadowbestand in het archief en wis de hash van het root-wachtwoord. Daarna pak je alles opnieuw in, herstart je de computer en voilà – je kunt inloggen met een leeg wachtwoord. Als dat een beetje intimiderend klinkt, is dat ook zo. Maar het heeft op meerdere machines die ik heb gezien gewerkt, dus het is het proberen waard als je vastloopt. Houd er wel rekening mee dat de exacte partities kunnen variëren afhankelijk van je ESXi-versie. Meestal zoek je op ESXi 7.x en hoger naar /dev/sda5 (bootbank) en /dev/sda6 (altrbootbank), beide ongeveer 1 GB groot. Op eerdere versies zijn ze kleiner.
Hoe u het ESXi-wachtwoord kunt resetten met behulp van een Linux Live CD
Start op in Linux-herstelmodus en koppel bestandssystemen.
- Download en brand een Linux-hersteldistributie zoals Ubuntu Live of SystemRescueCD. Start je hostcomputer op vanaf deze schijf of USB-stick. Ik weet niet zeker waarom het werkt, maar het helpt om een distributie te gebruiken met goede tools en ondersteuning voor het mounten van VMFS- of NFS-shares indien nodig.
- Open je terminal en toon je schijfpartities met: `<partitions>
# fdisk –l`.Zoek de partities met de labels `/dev/sda5` en `/dev/sda6`. Op sommige systemen zijn ze groter (ongeveer 1 GB), op andere kleiner (ongeveer 250 MB).Ze bevatten de besturingssysteembestanden en configuratiebestanden.
Koppel de relevante partities
- Maak mappen aan voor het mounten:
# mkdir /mnt/sda5 /mnt/sda6 /temp- Koppel de hoofdopstartpartitie:
# mount /dev/sda5 /mnt/sda5- Kopieer de archiefbestanden om ze te bewerken:
# cp /mnt/sda5/state.tgz /temp# cd /temp
Het schaduwbestand extraheren en bewerken.
- Het archief uitpakken:
# tar xzf state.tgz- Binnenin vind je local.tgz – pak dat ook maar uit:
# tar xzf local.tgz- Nu ziet u de map /etc. Gebruik een teksteditor zoals nano of vi om het shadow-bestand te bewerken:
# nano /temp/etc/shadow
Zoek de regel voor de root-gebruiker. Deze zou er ongeveer zo uit moeten zien: root:$6$salt$hash:…. Om een leeg wachtwoord in te stellen, verwijder je het hash-gedeelte na de eerste dubbele punt, zodat het leeg blijft. Het ziet er dan zo uit: root::…. Door dit op te slaan, log je in als root zonder wachtwoord.
Herverpak en vervang de bestanden.
- Sla je wijzigingen op en verwijder vervolgens alle oude tgz-bestanden:
# rm *.tgz- Herstel de archieven:
# tar czf local.tgz etc# tar czf state.tgz local.tgz- Kopieer het gewijzigde state.tgz-bestand terug naar de ESXi-partitie:
# mv /temp/state.tgz /mnt/sda5- Ontkoppel alles:
# umount /mnt/sda5
Dezelfde oplossing geldt voor /dev/sda6 als je daar ook het wachtwoord moet resetten. Herstart daarna je host; als alles goed is gegaan, zou je moeten kunnen inloggen met een leeg root-wachtwoord. Zorg er wel voor dat je zo snel mogelijk een echt wachtwoord instelt zodra je bent ingelogd.
—
Het rootwachtwoord van ESXi opnieuw instellen met behulp van VMware-hostprofielen
Als je vCenter gebruikt om je hosts te beheren en een Enterprise Plus-licentie hebt, is er een elegantere manier – zonder herstart. Je kunt een profielupdate pushen om een nieuw rootwachtwoord in te stellen. Dit is een wat betere, ondersteunde methode, maar vereist wel wat configuratiewerk.
- Maak verbinding met vCenter en ga vervolgens naar Beleid en profielen > Hostprofielen. Kies ‘ Hostprofiel extraheren van uw host’.
- Geef het een herkenbare naam en bewerk het vervolgens: ga naar Beveiliging > Gebruikersconfiguratie > root.
- Werk het wachtwoord bij in de instellingen voor vaste wachtwoorden.
- Pas het profiel toe op uw host, bij voorkeur in de onderhoudsmodus (Host > Onderhoudsmodus > Onderhoud inschakelen).
- Klik op Herstellen. De host zal de profielinstellingen toepassen en het wachtwoord opnieuw instellen zonder opnieuw op te starten.
- Zodra dit is voltooid, verlaat u de onderhoudsmodus en zet u uw VM’s weer online.
—
Ja, deze methoden zijn niet bepaald gebruiksvriendelijk, maar ze werken wel als je vertrouwd bent met de terminal, het mounten van bestandssystemen en het bewerken van configuratiebestanden. Vergeet niet om je wachtwoord direct te wijzigen nadat je weer toegang hebt gekregen, want het root-adres leeg laten is geen goed plan voor de lange termijn. Deze trucs lijken echter te werken op de meeste ESXi-versies en besparen je een hoop gedoe als een herinstallatie geen optie is. Let wel op: dit wordt niet officieel ondersteund, dus gebruik het met de nodige voorzichtigheid. Maar in geval van nood is het een prima manier om de controle over een vergrendelde ESXi-host terug te krijgen.
Samenvatting
- Start op vanaf de Linux-herstelmedia en identificeer uw ESXi-partities.
- Koppel de betreffende partitie, pak het wachtwoordarchief uit en bewerk het shadow-bestand.
- Wis de root-hash en verpak alles opnieuw.
- Herstart de computer en log in met een leeg wachtwoord.
- Als u vCenter gebruikt, overweeg dan hostprofielen voor een ondersteunde resetmethode waarbij geen herstart nodig is.
Samenvatting
Natuurlijk is het aanpassen van VMFS en systeembestanden geen kinderspel, maar het is behoorlijk effectief als je bekend bent met Linux en commandoregeltools. Hopelijk bespaart dit iemand een herinstallatie of biedt het in ieder geval een alternatieve methode om te proberen. Ik snap niet waarom VMware het zo moeilijk maakt om wachtwoorden normaal te resetten, maar ja, wat kun je eraan doen?