Administrators = root

Dans le what’s new de vSphere 6.0 nous avions remarqué un paragraphe intéressant concernant la gestion des comptes locaux des ESX avec esxcli :

ESXi 6.0 enables management of local accounts on the ESXi server, using new ESXCLI commands. The ability to add, list, remove, and modify accounts across all hosts in a cluster can be centrally managed using a vCenter Server system. Previously, the account and permission management functionality for ESXi hosts was available only with direct host connections. Setting, removing, and listing local permissions on ESXi servers can also be centrally managed.

Nous avons enfin pris le temps de tester cette nouvelle fonctionnalité et pouvons confirmer qu’il est maintenant possible de changer le password du compte root des ESX sans le connaitre pour peu qu’on soit admin du vcenter (alors qu’il fallait bien une connexion direct pre 6.0) :

Get-VMHost|%{($_|Get-EsxCli).system.account.set($null,"root","NewPassword","NewPassword")}

Par contre, les contraintes de cette manipulation sont nombreuses comparé à un simple “passwd” :

An uppercase character that begins a password does not count toward the number of character classes used.

A number that ends a password does not count toward the number of character classes used.

Nous avons aussi découvert à nos dépends qu’un $ au milieu du password était mal interprété. Il convient donc d’être vigilant et de bien tester que le changement soit effectif.

Leave a Reply