Un petit article bien tech, après plusieurs semaines de politique, ça nous changera un peu les idées ! Aujourd’hui comment changer/renouveller les crédentials du user vCenter d’un cluster VxRail
Après plusieurs semaines consacrées à des sujets plus politiques, place à un article 100 % technique ! Aujourd’hui, je vous propose de voir comment renouveler les identifiants du compte vCenter d’un cluster VxRail.
Dans le cadre de la mise à jour de notre PSSI vSphere, nous avons décidé de renforcer la sécurité de notre infrastructure et, surtout, de réduire notre dépendance à l’Active Directory pour la gestion de notre production VMware mutualisée. L’objectif ? Éviter tout blocage en cas d’incident majeur sur l’AD. Cette évolution s’est accompagnée d’une refonte complète de notre base d’authentification vCenter.
Parmi les changements nécessaires, la mise à jour des identifiants VxRail s’imposait. Traditionnellement, chaque cluster dispose d’au moins un compte utilisateur/mot de passe créé dans la base « vsphere.local », dédié à sa gestion. Mais comment modifier ces identifiants directement via les plugins VxRail Manager de vSphere ? Spoiler : ce n’est pas aussi simple qu’on pourrait l’espérer, même si la procédure est documentée sur le site de Broadcom. Pour moi, ce fut surtout l’occasion de replonger dans la ligne de commande et avouons-le, ce n’est pas pour me déplaire !
Voici donc la marche à suivre pour renouveler les identifiants du compte vSphere de management de VxRail depuis le VxRail Manager. Prérequis : vous devez déjà connaître le mot de passe du compte mystic (spécifique à VxRail) ainsi que celui du compte root de l’appliance. Une fois ces éléments en poche, voici comment procéder :
Connectez vous sur l’appliance VxRail qu’on appelle le VxRail manager et tapez ces commandes :
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 |
login as: mystic Password: ******** Last login: Tue Nov 25 09:48:27 2025 from 10.166.24.16 __ __ ____ _ _ __ __ \ \ / /_ _| _ \ __ _(_) | | \/ | __ _ _ __ __ _ __ _ ___ _ __ \ \ / /\ \/ / |_) / _` | | | | |\/| |/ _` | '_ \ / _` |/ _` |/ _ \ '__| \ V / > <| _ < (_| | | | | | | | (_| | | | | (_| | (_| | __/ | \_/ /_/\_\_| \_\__,_|_|_| |_| |_|\__,_|_| |_|\__,_|\__, |\___|_| |___/ ___ ___ _________ ____ ( _ ) / _ \ |___ /___ \|___ \ / _ \ | | | | |_ \ __) | __) | | (_) | _ | |_| | _ ___) / __/ / __/ \___/ (_) \___/ (_) |____/_____|_____| mystic@appliance-admin:~> su root Password: ******** appliance-admin:/home/mystic # curl --unix-socket /var/lib/vxrail/nginx/socket/nginx.sock \ -X GET "http://localhost/rest/vxm/internal/lockbox/v1/credentials?lockbox_name=SYSTEM&credential_names=management_account_vc" \ |jq % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 178 100 178 0 0 65465 0 --:--:-- --:--:-- --:--:-- 89000 { "items": [ { "connection_type": "EXPIRED", "credential_name": "management_account_vc", "is_found": true, "password": "********", "username": "vxrail-appliance-mgmt@vsphere.local" } ] } appliance-admin:/home/mystic # vi convert-password-to-base64.txt appliance-admin:/home/mystic # base64 convert-password-to-base64.txt **************************** appliance-admin:/home/mystic # curl -X PUT --unix-socket /var/lib/vxrail/nginx/socket/nginx.sock \ -H "accept: application/json" \ -H "Content-Type: application/json" \ -d '{ \ "lockbox_name":"SYSTEM", "credentials":[{"credential_name":"management_account_vc", "username":"vxrail-appliance-mgmt@vsphere.local", "password":"***base64password***"}] \ }' \ 'http://localhost/rest/vxm/internal/lockbox/v1/credentials'; appliance-admin:/home/mystic # curl --unix-socket /var/lib/vxrail/nginx/socket/nginx.sock \ -X GET "http://localhost/rest/vxm/internal/lockbox/v1/credentials?lockbox_name=SYSTEM&credential_names=management_account_vc" \ |jq % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 154 100 154 0 0 23626 0 --:--:-- --:--:-- --:--:-- 25666 { "items": [ { "credential_name": "management_account_vc", "is_found": true, "password": "********", "username": "vxrail-appliance-mgmt@vsphere.local" } ] } |
Ce code illustre la procédure de mise à jour du mot de passe du compte de gestion VxRail (management_account_vc) via l’interface interne de l’appliance VxRail. Après s’être connecté en SSH avec le compte mystic et avoir basculé en root, on utilise une requête curl vers une socket Unix (nginx.sock) pour interroger l’API interne de VxRail et récupérer les identifiants actuels du compte (stockés dans une variable « lockbox »), affichés au format JSON grâce à jq. Le mot de passe est ensuite encodé en Base64 (via un fichier temporaire, le fichier convert-password-to-base64) pour être réinjecté dans une requête PUT vers la même API, permettant ainsi de le mettre à jour. Une seconde requête GET confirme que la modification a bien été enregistrée, avec le nouveau mot de passe. Cette méthode contourne l’absence d’interface graphique dédiée et exploite directement l’API REST locale de VxRail pour gérer les identifiants de manière sécurisée.
Dans la pratique, c’est relativement simple à utiliser, en sachant ce qu’on fait bien sûr !
J’espère que ce tip vous sera utile 🙂
La procédure chez Broadcom : https://knowledge.broadcom.com/external/article/316059/retrieve-vxrail-manager-service-account.html
