INTRODUZIONE
Dopo il recente articolo sull’utilizzo dei Custom Settings nella Veeam Software Appliance, andiamo ora ad analizzare un’altra tematica che si porta dietro alcune importanti differenze rispetto alla versione Windows: la gestione delle password per le utenze locali del Veeam Backup & Replication Server.
VSA – USERS AND ROLES
Siamo sempre stati abituati, con il classico VBR installato su OS Windows, a creare nuovi utenti locali dall’interfaccia “Local User and Groups”, accessibile direttamente tramite snap-in lusrmgr.msc o integrata all’interno del tool “Computer Management” (compmgmt.msc).
Anche per un eventuale reset di una password utente, la modifica avviene sempre tramite il suddetto pannello. L’importante, ovviamente, è avere sempre a disposizione un accesso amministrativo al OS.
Con l’introduzione della VSA basata su Linux, le cose sono ovviamente cambiate.
La gestione delle utenze viene effettuata, in questo caso, tramite la Veeam Host Management Console, ed è consentita solo ad utenti con il ruolo di Host Administrator.
Inoltre, nel caso durante il wizard iniziale venga attivato anche l’utente con ruolo Security Officier, sarà possibile effettuare una serie di operazioni specifiche che vedremo nel dettaglio tra poco.
Nota: se in fase di installazione lo step del Security Officer viene saltato, per poter abilitare in un secondo momento l’utente di default “veeamso” sarà necessario reinstallare da zero la VSA.
VSA – PASSWORD RECOVERY
Normalmente, il reset della password di un utente standard viene effettuato da un Host Administrator.
A sua volta, per modificare la password di un Host Administrator che non riesce più ad accedere alla Veeam Host Management Console è necessario un altro Host Administrator. Al successivo accesso, l’utente dovrà riconfigurare la propria MFA.
Cosa succede, invece, se l’utente Host Administrator che deve recuperare la propria password è l’unico nel sistema con questo ruolo?
Esistono due procedure: una da utilizzare nel caso nel sistema sia presente un utente con ruolo di Security Officer, e una nel caso questo ruolo non sia stato assegnato.
Nel primo caso, l’utente Host Administrator inizia la procedura di recupero password tramite il link “Forgot password” corrispondente. Tale procedura deve essere approvata dal Security Officer, abilitando poi la ricezione della mail di reset delle credenziali da parte del Host Administrator e il completamento del wizard di creazione di nuove credenziali.
Nel secondo caso, invece, essendo l’account Host Administrator l’unico disponibile nel sistema, non sarà possibile effettuare il suddetto recupero password, ma occorrerà effettuare una procedura “di emergenza”.
Come indicato nella KB4761, è necessario utilizzare la “LiveOS ISO” messa a disposizione da Veeam, e seguire gli step indicati:
- montare la ISO nella VM VSA
- riavviare la VM e fare boot dalla ISO
- iniziare il wizard del Veeam Live Environment
- effettuare il login con le credenziali di default “root/veeam”
- inserire una nuova password di root per l’ambiente Live
Una volta effettuato l’accesso, possiamo iniziare la procedura di recovery della password.
Il primo passaggio necessario consiste nel montare il filesystem della VSA: veeam_mount_system
Il secondo step è quello di accedere con permessi di root al filesystem della VSA: veeam_chroot_system
Una volta dentro, in base alle necessità, è possibile:
- sbloccare un account: faillock –user <username> –reset
- resettare una password: passwd <username>
Completata l’operazione di recovery dell’account, uscire dal LiveOS e riavviare la VSA.
Nota: per resettare l’MFA tramite questa procedura è necessario contattare il supporto ufficiale Veeam. Se l’MFA da resettare è quello di un account Security Officier, l’unico metodo possibile è tramite l’utilizzo del recovery token.
Tip: per rivedere/modificare le configurazioni relative alle policy di lock degli account accedere al file /etc/security/faillock.conf ; per i requisiti delle password, invece, i file corrispondenti sono /etc/security/pwhistory.conf e /etc/security/pwquality.conf
CONCLUSIONE
Abbiamo visto come le procedure di recupero di account amministrativo della VSA siano differenti rispetto al classico VBR server basato su Windows, ma seguendo i passaggi corretti è comunque possibile tirarsi fuori dai guai.
Tip: il consiglio è di avere sempre configurato almeno un secondo utente con ruolo di Host Administrator, possibilmente senza MFA, da utilizzare come “break glass account” esclusivamente in caso di emergenza .
Buon lavoro! 💚