HyTrust KeyControl アプライアンス管理者ユーザ(htadmin)のパスワードを忘れてしまった場合のトラブルシューティング方法

HyTrust KeyControlは様々な暗号化機能で使用される暗号鍵を管理できるソフトウェアで、VMwareからも認定を受けているKMS(Key Management Server)の1つであり、暗号化状況はWeb GUI上から管理でき、基本的にはCUIを使用することなくあらゆる環境の鍵管理が可能です。

そして機能の1つとして、ソフトウェアの機能を用いた共有ストレージなしでのクラスタ構成機能があり、この機能を使用して可用性を高めた暗号化運用が可能です。
クラスタ構成をとっているためWeb GUIへのログインユーザ名、パスワードは同一となり、いずれのノードにログインして操作を行っても設定内容は別ノードへ同期が取られます。

ただし、注意するべきなのはWeb GUIへのログイン情報は同期されますが、アプライアンスOS自体の認証情報は同期されず、各々のノードで独立して管理されます。

アプライアンスOSユーザはhtadminというユーザが用意されており、実際の運用で使用するケースはありませんが、万が一Web GUIへのログイン操作ができなくなった場合に安全にシステムを再起動する操作やログ取得操作、アプライアンスへのSSHアクセス設定などいくつか操作が可能であるため、このユーザのパスワードも管理しておく必要があります。

本ブログでは、htadminユーザのパスワードを忘れてしまった場合の復旧方法をご紹介します。

まず、KeyControlサーバとTCP/IP 443ポートで疎通可能なWindowsマシンを用意し、Powershellを起動します。
その後、$PSVersionTableを実行してPSVersionが5以降であることを確認します。

その後、こちらのリンクupdatehtadminpwdから圧縮ファイル(updatehtadminpwd.zip)をダウンロードし、解凍してps1ファイルの編集画面を開きます。
以下がps1ファイル(updatehtadminpwd.ps1)をエディタで開いた画面です。

様々記載されていますが、変更するのは先頭の4行のみです。
$HTKC_FQDN_OR_IP=”10.85.0.154″

$GUI_USERNAME=”secroot”

$GUI_PASSWORD=”d@t@Gr11″

$HTADMIN_NEW_PASSWORD=”d@t@Gr11″

それぞれ、以下のように変更します。
$HTKC_FQDN_OR_IP=”パスワードを変更したいKeyControlサーバのIPアドレスまたはFQDN”

$GUI_USERNAME=”Web GUIにログインできるSecurity Admin権限を持ったユーザ”

$GUI_PASSWORD=”上記のSecurity Administrator権限を持つユーザのパスワード”

$HTADMIN_NEW_PASSWORD =”htadminに新たに設定したいパスワード”

例えば、192.168.0.223のKeyControlサーバのSecurity Admin権限を持ったWeb GUIログインユーザ(secroot)およびパスワード(Climb_Cube1234)を使用して、アプライアンスOSのユーザ(htadmin)のパスワードをP@ssw0rd123!と指定する場合には、以下のように記載します。
$HTKC_FQDN_OR_IP=”192.168.0.223″

$GUI_USERNAME=”secroot”

$GUI_PASSWORD=”Climb_Cube1234″

$HTADMIN_NEW_PASSWORD =”P@ssw0rd123!”

ここまで記載できたら、変更を保存しPowershell画面から実行します。

実行完了後には、以下のようにリセットが成功したメッセージが出力されます。