HyTrust KeyControlは様々な暗号化機能で使用される暗号鍵を管理できるソフトウェアで、VMwareからも認定を受けているKMS(Key Management Server)の1つであり、暗号化状況はWeb GUI上から管理でき、基本的にはCUIを使用することなくあらゆる環境の鍵管理が可能です。
そして機能の1つとして、ソフトウェアの機能を用いた共有ストレージなしでのクラスタ構成機能があり、この機能を使用して可用性を高めた暗号化運用が可能です。
クラスタ構成をとっているためWeb GUIへのログインユーザ名、パスワードは同一となり、いずれのノードにログインして操作を行っても設定内容は別ノードへ同期が取られます。
ただし、注意するべきなのはWeb GUIへのログイン情報は同期されますが、アプライアンスOS自体の認証情報は同期されず、各々のノードで独立して管理されます。
アプライアンスOSユーザはhtadminというユーザが用意されており、実際の運用で使用するケースはありませんが、万が一Web GUIへのログイン操作ができなくなった場合に安全にシステムを再起動する操作やログ取得操作、アプライアンスへのSSHアクセス設定などいくつか操作が可能であるため、このユーザのパスワードも管理しておく必要があります。
本ブログでは、htadminユーザのパスワードを忘れてしまった場合の復旧方法をご紹介します。
まず、KeyControlサーバとTCP/IP 443ポートで疎通可能なWindowsマシンを用意し、Powershellを起動します。
その後、$PSVersionTableを実行してPSVersionが5以降であることを確認します。
その後、こちらのリンクupdatehtadminpwdから圧縮ファイル(updatehtadminpwd.zip)をダウンロードし、解凍してps1ファイルの編集画面を開きます。
以下がps1ファイル(updatehtadminpwd.ps1)をエディタで開いた画面です。
様々記載されていますが、変更するのは先頭の4行のみです。
$HTKC_FQDN_OR_IP=”10.85.0.154″
$GUI_USERNAME=”secroot”
$GUI_PASSWORD=”d@t@Gr11″
$HTADMIN_NEW_PASSWORD=”d@t@Gr11″
それぞれ、以下のように変更します。
$HTKC_FQDN_OR_IP=”パスワードを変更したいKeyControlサーバのIPアドレスまたはFQDN”
$GUI_USERNAME=”Web GUIにログインできるSecurity Admin権限を持ったユーザ”
$GUI_PASSWORD=”上記のSecurity Administrator権限を持つユーザのパスワード”
$HTADMIN_NEW_PASSWORD =”htadminに新たに設定したいパスワード”
例えば、192.168.0.223のKeyControlサーバのSecurity Admin権限を持ったWeb GUIログインユーザ(secroot)およびパスワード(Climb_Cube1234)を使用して、アプライアンスOSのユーザ(htadmin)のパスワードをP@ssw0rd123!と指定する場合には、以下のように記載します。
$HTKC_FQDN_OR_IP=”192.168.0.223″
$GUI_USERNAME=”secroot”
$GUI_PASSWORD=”Climb_Cube1234″
$HTADMIN_NEW_PASSWORD =”P@ssw0rd123!”
ここまで記載できたら、変更を保存しPowershell画面から実行します。
実行完了後には、以下のようにリセットが成功したメッセージが出力されます。
ここまで完了したら、実際にKeyControlアプライアンスへVMware Remote Consoleなどを使用してアクセスし、htadminユーザでのログイン時に$HTADMIN_NEW_PASSWORDで指定した新しいパスワードを使用します。
関連トピックス
- HyTrust KeyControl/DataControl Web GUIログインユーザパスワードのリセットについて
- インストール時のエラーについて【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- HyTrust KeyControl 5.3 HSMとの連携強化
- Accops HyLabsで学校講義の科目を追加する
- Entrust KeyControl Compliance ManagerのデプロイおよびKeyVaultとの連携について
- ローカルPC以外のSQLServerに接続する際の注意点【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- 既存KeyControlクラスタへ参加し、クラスタを再構成する方法
- Group Managed Service Accounts(gMSA)と連携したユーザ/パスワード管理不要でセキュアなVeeamバックアップ運用
- Veeam 12.1とKMS(Entrust KeyControl)を連携するメリットとは
- Entrust KeyControlアプライアンスのシステム保護機能と注意点について