[TR] VMware SDDC Installer admin@local Hesabında Parola Sıfırlama ve Hesap Kilitlenmesi Durumları

VMware Cloud Foundation (VCF) ortamlarını yöneten sistem yöneticileri için bazı hesaplar vardır ki yalnızca günlük operasyonlar için değil kriz anlarında da hayati önem taşır. admin@local hesabı bunlardan biridir. Özellikle SDDC Manager vCenter entegrasyonu veya harici kimlik doğrulama bileşenlerinde yaşanan erişim problemlerinde bu hesap adeta bir “yedek giriş kapısı” işlevi görür.

Çoğu zaman sorun basit başlar kurulum tamamlanmıştır, ortam ayağa kalkmıştır ancak bir süre sonra bu hesabın parolası unutulur. Birkaç yanlış deneme yapılır ardından hesap kilitlenir ve erişim ihtiyacı tam da en kritik anda ortaya çıkar.

İşte bu noktada admin@local hesabının ne işe yaradığını, neden önemli olduğunu ve parola sıfırlama sürecinin nasıl yürütülmesi gerektiğini doğru anlamak gerekir.

admin@local Hesabı Neden Bu Kadar Kritik?

VMware Cloud Foundation içerisinde kullanılan admin@local hesabı standart bir kullanıcı hesabından daha fazlasıdır. Bu hesap özellikle aşağıdaki durumlarda kritik rol oynar:

• SDDC Manager API erişimi gerektiğinde,
• VCF Installer bileşenine doğrudan erişim gerektiğinde,
• Yönetim vCenter Server erişilemediğinde,
• Kimlik sağlayıcı (SSO / Identity Provider) tarafında sorun yaşandığında,
• Merkezi kimlik doğrulama altyapısı devre dışı kaldığında,

Başka bir ifadeyle admin@local hesabı ana yönetim servisleri veya kimlik altyapısı çalışmaz durumdayken bile yöneticinin ortama erişimini sürdürebilmesi için tasarlanmış yerel ve kritik bir hesap olarak düşünülmelidir.

Bu nedenle bu hesabın parolasının unutulması ya da hesabın kilitlenmesi sadece bir kullanıcı problemi değil doğrudan operasyonel devamlılığı etkileyen bir yönetim sorunudur.

Parola Unutulduğunda Ne Olur?

Birçok ortamda parolalar güvenlik politikaları gereği kasada tutulur parola yöneticilerinde saklanır ya da kurulum sırasında güvenli bir yere not edilir.

Ancak pratikte her zaman her şey ideal gitmez. Özellikle ilk kurulumdan aylar sonra ihtiyaç duyulan hesap bilgileri bazen bulunamayabilir.

Eğer admin@local hesabının mevcut parolası bilinmiyorsa klasik anlamda “şifremi unuttum” benzeri bir arayüzden sıfırlama yapmak mümkün değildir.

Bunun yerine parola doğrudan SDDC Manager üzerinde manuel olarak yeniden tanımlanır.

Bu işlem işletim sistemi seviyesinde belirli bir dizin oluşturulmasını, parola verisinin güvenli biçimde hash’lenmesini ve ardından ilgili servislerin yeniden başlatılmasını içerir.

Bu yöntem ilk bakışta biraz düşük seviyeli ve manuel görünebilir. Ancak aslında amaç nettir kimlik servisleri veya üst seviye bileşenler çalışmıyor olsa bile, sistem yöneticisinin temel erişimi yeniden kazanabilmesi.

Parola Sıfırlama İşlemi Nasıl Yapılır?

VMware tarafından paylaşılan bilgiye göre parola sıfırlama işlemi doğrudan SDDC Manager VM üzerinde gerçekleştirilir. Bu işlem sırasında dikkat edilmesi gereken en önemli konu, yapılan değişikliğin güvenlik bağlamını ve dosya izinlerini bozmadan uygulanmasıdır.

SDDC Manager Üzerine Erişim Sağlanması

İlk adımda SDDC Manager sanal makinesine erişmeniz gerekir. Bunun için SSH üzerinden vcf kullanıcısıyla bağlanıp ardından root yetkisine geçebilirsiniz. Eğer doğrudan mümkünse root olarak da oturum açılabilir.

su -

Bu aşamada amaç parola bilgisinin tutulacağı dosya yapısını oluşturabilecek ve servisleri yeniden başlatabilecek yetkilere sahip olmaktır.

Güvenlik Dizin Yapısının Oluşturulması

Sistem, yerel güvenlik verilerini belirli bir dizin altında tutar. Eğer bu dizin mevcut değilse, uygun izinlerle birlikte oluşturulmalıdır.

mkdir -p /etc/security/local
chown root:vcf_services /etc/security/local
chmod 650 /etc/security/local

Bu komutların yaptığı işlem basittir ama önemlidir:

• mkdir -p ile dizin oluşturulur
• sahiplik root:vcf_services olarak atanır
• dizine sadece gerekli seviyede erişim verilir

Buradaki amaç parola bilgisini rastgele bir dosyada değil, sistemin beklediği güvenli dizin yapısında saklamaktır.

Parola Dosyasının Oluşturulması

Bir sonraki adımda yeni parolanın hash’lenmiş çıktısının tutulacağı dosya hazırlanır.

echo -n "" > /etc/security/local/.localuserpasswd
chown root:vcf_services /etc/security/local/.localuserpasswd
chmod 660 /etc/security/local/.localuserpasswd

Bu işlemle birlikte boş bir parola dosyası oluşturulur ve yine doğru sahiplik ile izinler atanır.

Burada özellikle dosyanın adı ve konumu önemlidir. Çünkü servisler parola bilgisini bu tanımlı konumdan okuyacaktır.

Yanlış dizin, yanlış dosya adı veya hatalı izinler, parola değişikliği yapılmış gibi görünmesine rağmen girişin başarısız olmasına neden olabilir.

Yeni Parolanın Güvenli Biçimde Oluşturulması

Asıl kritik aşama burasıdır. Yeni parola düz metin olarak dosyaya yazılmaz. Bunun yerine OpenSSL kullanılarak SHA-512 tabanlı bir hash üretilir, ardından Base64 formatına çevrilerek ilgili dosyaya yazılır.

echo -n 'Your Password Here' | openssl dgst -sha512 -binary | openssl enc -base64 | tr -d '\n' > /etc/security/local/.localuserpasswd

Bu komutta yer alan 'Your Password Here' kısmı yerine, VCF parola politikasına uygun yeni parola girilmelidir.

Genel parola gereksinimleri şu şekildedir:

• 12 ile 127 karakter arasında olmalı
• En az bir büyük harf içermeli
• En az bir küçük harf içermeli
• En az bir rakam içermeli
• En az bir özel karakter içermeli

Bu gereksinimlerin sağlanmaması halinde parola teknik olarak dosyaya yazılmış olsa bile oturum açma tarafında beklenmeyen sorunlar yaşanabilir.

Bu nedenle parola belirlenirken sadece karmaşık değil aynı zamanda VCF kurallarıyla uyumlu olması gerekir.

Servislerin Yeniden Başlatılması

Parola dosyası güncellendikten sonra değişikliğin etkili olabilmesi için ilgili SDDC Manager servislerinin yeniden başlatılması gerekir.

/opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanager_restart_services.sh

Bu adım atlanırsa sistem yeni parola dosyasını hemen kullanmayabilir. Başka bir ifadeyle, parola teoride değiştirilmiş olur ama pratikte oturum açma işlemleri eski durumla devam edebilir. Bu yüzden servis yeniden başlatma işlemi sürecin zorunlu bir parçasıdır.

Hesap Kilitlenmesi Neden Yaşanır?

Parola unutulduğunda en sık karşılaşılan ikinci problem hesap kilitlenmesidir. Genellikle kullanıcılar eski olduğunu düşündükleri birkaç parolayı dener, ardından sistem güvenlik politikası devreye girer ve hesap kilitlenir.

Bu davranış temelde iyi bir güvenlik önlemidir. Çünkü brute-force ya da rastgele deneme saldırılarını sınırlandırır. Ancak yönetim hesaplarında bu durum aynı zamanda operasyonel risk yaratır. Özellikle bir arıza anında erişim sağlanması gerekirken hesabın kilitli olması, çözüm süresini uzatabilir.

Bu nedenle şu yaklaşım önemlidir:

• Parola bilinmiyorsa art arda tahmin yürütmek yerine doğrudan kontrollü parola sıfırlama yöntemine geçilmelidir.
• Hesabın kritik rolü nedeniyle bu bilgi güvenli bir parola kasasında saklanmalıdır.
• Parola değişikliği sonrasında doğrulama testi yapılmalı ve yeni bilgi ekip içinde kontrollü biçimde dokümante edilmelidir.

Kilitlenen Hesabın Açılması

Parolayı sıfırlamak çoğu durumda tek başına yeterli değildir. Eğer admin@local hesabı çok sayıda hatalı giriş denemesi nedeniyle daha önce kilitlendiyse sistem yeni parolayı kabul etmeyebilir. Yani parola doğru olsa bile kullanıcı hâlâ giriş yapamaz.

Bu durum özellikle yöneticiler açısından kafa karıştırıcı olabilir. Çünkü parola başarıyla sıfırlanmıştır gerekli dosya güncellenmiştir servisler de yeniden başlatılmıştır buna rağmen login ekranı hâlâ erişimi reddedebilir. Bunun nedeni parola bilgisinden bağımsız olarak hesabın lockout durumunun sistemde tutulmaya devam etmesidir.

Bu yüzden ikinci aşamada hesabın kilit durumunun da temizlenmesi gerekir.

Kilit Durumu Neden Devam Eder?

Kimlik doğrulama mekanizması, başarısız oturum açma denemelerini sadece geçici bir hata olarak değerlendirmez. Belirli bir eşik aşıldığında hesabı güvenlik amacıyla kilitler. Bu lockout bilgisi, parola değişse bile kendiliğinden her zaman temizlenmez.

Dolayısıyla burada yapılması gereken şey, kimlik doğrulama ile ilişkili ortak servis bileşenini yeniden başlatmak ve kilit bilgisinin temizlenmesini sağlamaktır.

Lockout Temizleme İşlemi

Mevcut root oturumunuz açıkken, aşağıdaki komut çalıştırılır.

systemctl restart commonsvcs

Bu komut ile kimlik doğrulama sürecinde rol oynayan commonsvcs servisini yeniden başlatır.

Hesap kilidi bu servis katmanında tutuluyorsa restart işlemi sonrasında sistem lockout durumunu temizler ve yeni parolayla yeniden giriş yapılabilir hale gelir.

Son Doğrulama

Komutu çalıştırdıktan sonra servisin tam olarak ayağa kalkması için birkaç saniye beklemek gerekir. Ardından web arayüzü üzerinden admin@local hesabıyla tekrar giriş denenmelidir.

Bu aşamada artık iki şart da sağlanmış olur:

• Yeni parola sisteme doğru şekilde yazılmıştır
• Hesabın lockout durumu temizlenmiştir

Eğer her iki işlem de doğru yapıldıysa, giriş başarılı olmalıdır.