Khôi Phục & Reset Mật Khẩu root ESXi · root VCSA · [email protected]

Lý Thuyết — Phân Biệt 3 Loại Tài Khoản

Trước khi reset, phải xác định đúng tài khoản nào đang gặp vấn đề. Nhầm lẫn giữa 3 tài khoản dưới đây là nguyên nhân số 1 khiến thao tác sai hoặc làm hỏng hệ thống.

Quan điểm chính thức của VMware

ESXi root password:
  - KHÔNG có cơ chế "recover" mật khẩu root đã quên (không có safe mode reset).
  - Cách ĐƯỢC HỖ TRỢ (supported):
      1. Host Profile từ vCenter   → set lại root password rồi remediate
      2. Active Directory          → đăng nhập bằng AD account, đổi pass root
      3. Reinstall ESXi            → cài đè bootbank (datastore VMFS được giữ lại)
  - Sửa file /etc/shadow trong state.tgz: HOẠT ĐỘNG nhưng KHÔNG được hỗ trợ
    → chỉ dùng khi không còn lựa chọn, hiểu rõ rủi ro.

VCSA root (OS appliance):
  - Reset qua GRUB single-user mode → passwd root   (KB 2147144) → ĐƯỢC HỖ TRỢ

[email protected] (SSO):
  - Reset qua /usr/lib/vmware-vmdir/bin/vdcadmintool (KB 2146224) → ĐƯỢC HỖ TRỢ

Phần 1 — Reset Mật Khẩu root ESXi (7.x / 8.x)

Điều kiện: Host đã add vào vCenter (kết nối vẫn còn — vpxuser của vCenter
           vẫn hoạt động dù không biết pass root).

Bước 1: Tạo Host Profile từ chính host đó (hoặc host tương đương)
  vSphere Client → Policies and Profiles → Host Profiles
  → Extract Host Profile from a host → chọn host

Bước 2: Sửa root password trong profile
  Edit Host Profile → Security and Services
  → Security Settings → User Configuration → root
  → Password: "Fixed password configuration"
  → nhập mật khẩu mới → Save

Bước 3: Gán & Remediate
  Attach Host Profile vào host (hoặc cluster)
  → Right-click host → Host Profiles → Remediate
  (Host có thể cần Maintenance Mode tùy cấu hình profile)

Bước 4: Kiểm tra
  Đăng nhập DCUI (F2) hoặc Host Client https://esxi-fqdn bằng pass mới.

Điều kiện: ESXi đã join AD và nhóm "ESX Admins" (hoặc group cấu hình ở
           Advanced Setting Config.HostAgent.plugins.hostsvc.esxAdminsGroup)
           được map quyền Administrator.

Bước 1: SSH / Host Client login bằng tài khoản AD có quyền admin:
  ssh DOMAIN\\\\adminuser@esxi-fqdn      (hoặc adminuser@domain)

Bước 2: Đổi mật khẩu root:
  # qua ESXi Shell:
  passwd root
  # nhập mật khẩu mới 2 lần

Lưu ý ESXi 7/8: nếu chỉ Likewise/AD bị lỗi (DNS, trust), cách này không
dùng được → chuyển sang Host Profile hoặc cài lại.

Bước 1: Boot từ ESXi 7/8 installer ISO (đúng version đang chạy).

Bước 2: Khi installer phát hiện đĩa đã có ESXi → chọn:
  "Install ESXi, preserve VMFS datastore"
  (TUYỆT ĐỐI không chọn "overwrite VMFS datastore")

Bước 3: Đặt root password mới trong wizard → hoàn tất cài → reboot.

Bước 4: Cấu hình lại networking (vSwitch/VMkernel/IP) qua DCUI nếu cần.

Bước 5: Re-register VM (nếu mất khỏi inventory):
  Host Client → Datastore browser → chuột phải file .vmx
  → "Register VM"

⚠ Cảnh báo:
  - Sao lưu/ghi lại cấu hình network, NTP, datastore path TRƯỚC khi cài.
  - Đảm bảo boot device tách biệt với datastore chứa VM
    (boot-from-USB/SD hoặc LUN riêng) để an toàn tuyệt đối.

Ý tưởng (KHÔNG khuyến nghị, dễ làm hỏng host):
  1. Boot host bằng Linux Live (GParted/Ubuntu) — KHÔNG boot vào ESXi.
  2. Mount partition bootbank của ESXi (FAT, có state.tgz).
  3. Giải nén lồng nhau: state.tgz → local.tgz → ./etc/shadow
  4. Thay field hash của root bằng "" (rỗng → no password) hoặc hash mới.
  5. Nén lại đúng cấu trúc (local.tgz → state.tgz), ghi đè, reboot.
  → Sai 1 bước = ESXi không boot. Hãy backup bootbank trước.

KHUYẾN NGHỊ THỰC TẾ: ưu tiên Cách 1/2/3. Cách 4 chỉ là kiến thức.

Phần 2 — Khôi Phục Mật Khẩu root của VCSA (vCenter 7/8)

Đây là root của HĐH Photon bên trong appliance (dùng cho VAMI :5480, SSH, console). Reset qua GRUB single-user mode.

Bước 0: SNAPSHOT VCSA (power off VCSA rồi snapshot là an toàn nhất).

Bước 1: Mở console VCSA (vSphere Client → VCSA VM → Launch Web Console,
        hoặc qua host ESXi nếu vCenter đang down). Reboot appliance:
        Guest OS Restart hoặc reboot từ console.

Bước 2: Khi màn hình Photon GRUB hiện ra → nhấn nhanh phím  e  để Edit.
        (Menu chỉ hiện vài giây — canh sẵn.)

Bước 3: Tìm dòng bắt đầu bằng  "linux"  (kernel boot line).
        Đưa con trỏ tới CUỐI dòng đó, thêm dấu cách rồi gõ:
            rw init=/bin/bash
        (Bảo đảm không có "ro" còn sót gây mount read-only.)

Bước 4: Nhấn  F10  (hoặc Ctrl-X) để boot vào shell bash (single-user).

Bước 5: Bảo đảm filesystem ghi được rồi đổi mật khẩu:
        mount -o remount,rw /
        passwd root
        # nhập mật khẩu mới 2 lần
        # Nếu báo "Authentication token manipulation error"
        #   → chạy lại mount -o remount,rw / rồi passwd root

Bước 6 (nếu tài khoản bị khóa do nhập sai nhiều lần):
        # Photon OS dùng pam_faillock (VCSA 7U2+/8):
        faillock --user root --reset
        # hoặc bản cũ dùng pam_tally2:
        pam_tally2 --user root --reset

Bước 7: Khởi động lại bình thường:
        umount /        # có thể báo busy — bỏ qua
        reboot -f
        # nếu reboot -f không ăn: exec /lib/systemd/systemd

Bước 8: Đăng nhập kiểm tra qua https://vcsa-fqdn:5480 hoặc SSH bằng pass mới.
        → Xóa snapshot sau khi xác nhận hệ thống ổn định.

# Mật khẩu root VCSA mặc định hết hạn sau 365 ngày → login báo expired.
# Nếu CÒN biết pass cũ: console/SSH sẽ tự bắt đổi pass mới, làm theo.
# Sau khi vào được, kiểm tra & tắt hết hạn nếu muốn:

chage -l root                      # xem ngày hết hạn hiện tại
chage -M -1 root                   # KHÔNG bao giờ hết hạn (CLI)

# Hoặc qua VAMI: https://vcsa:5480
#   → Administration → Password expiration settings
#   → "Root password expires": No  (hoặc đặt ngày mới)

Phần 3 — Reset / Unlock [email protected] (SSO)

Tài khoản SSO domain để đăng nhập vSphere Client (https://vcenter/ui). Reset bằng vdcadmintool. Cần đăng nhập được root của VCSA trước (xem Phần 2 nếu cũng mất root).

Bước 1: SSH vào VCSA bằng root (bật SSH ở VAMI nếu cần).
        ssh root@vcsa-fqdn

Bước 2: Nếu vào appliance shell, chuyển sang bash shell:
        shell           # (nếu prompt là Command> của appliancesh)

Bước 3: Chạy công cụ vdcadmintool:
        /usr/lib/vmware-vmdir/bin/vdcadmintool

Bước 4: Menu hiện ra → chọn:
        3. Reset account password

Bước 5: Nhập đúng UPN (account UPN), phân biệt hoa thường:
        [email protected]
        (nếu SSO domain khác mặc định thì thay vsphere.local cho đúng)

Bước 6: Công cụ TỰ SINH mật khẩu mới và in ra màn hình:
        "New password is ......."   → COPY chính xác (gồm cả ký tự đặc biệt).

Bước 7: Đăng nhập vSphere Client bằng pass vừa sinh:
        https://vcenter-fqdn/ui
        → [email protected] + pass mới
        → Vào được thì đổi sang pass dễ nhớ:
          Administration → Single Sign On → Users and Groups
          → vsphere.local → Administrator → Edit/Reset Password

==================
Please select:
0. exit
1. Test LDAP connectivity
2. Force start replication cycle
3. Reset account password          <-- dùng để reset [email protected]
4. Set log level and mask
5. Set vmdir state
6. Get vmdir state
==================

Phần 4 — Điểm Khác Biệt Trên vSphere 9 (ESXi 9 / vCenter 9)

Hầu hết quy trình ở Phần 1–3 vẫn áp dụng nguyên vẹn cho vSphere 9. Phần này chỉ nêu những điểm thay đổi để bạn không làm sai trên phiên bản mới.

Điều kiện: Cluster đã bật vSphere Configuration Profiles (vCP),
           host vẫn kết nối vCenter, license Enterprise Plus.

Bước 1: vSphere Client → chọn Cluster → Configure → Desired State
        → Configuration  (đây là cấu hình vCP dạng JSON document)

Bước 2: Sửa schema mật khẩu root trong document cấu hình:
        esx → security → user "root" → password
        (đặt mật khẩu mới theo schema vCP)

Bước 3: Save → "Check Compliance" → "Remediate" cho host/cluster.
        vCenter áp mật khẩu mới xuống các host trong cluster.

Bước 4: Đăng nhập DCUI/Host Client bằng pass mới để xác nhận.

→ Chi tiết schema & ví dụ: KB 404104.

ỨNG DỤNG DOANH NGHIỆP — Quy Trình Break-Glass

Reset mật khẩu là thao tác nhạy cảm, dễ bị lạm dụng — doanh nghiệp cần quy trình kiểm soát, phòng ngừa và ghi log đầy đủ.