Data Domain: Come reimpostare la password di Sysadmin o Security Officer

Sysadmin o Security Officer di Data Domain (Secoff | Gli account SO) che richiedono la reimpostazione della password non richiedono più l'intervento del supporto tecnico. 

• Questo metodo di reimpostazione della password non si applica a DDVE e DDMC; in tal caso, contattare il supporto tecnico.
• Anche il modello DD3300 non supporta questo metodo in quanto è un sistema DDVE.
• NON reimpostare le password su un sistema DD Highly Available (HA) in stato DEGRADED.
• Gli account Sysadmin e SecOff non possono essere reimpostati utilizzando l'interfaccia utente web (DD System Manager)
• L'e-mail di ripristino deve essere impostata in base all'utente. Pertanto, l'e-mail di ripristino deve essere impostata per ogni utente prima di aver bisogno del ripristino.

Prerequisiti:

• DDOS versione 7.10.1.40 | 7.13.1.10 | 8.3.x... (o più recente)
• Accesso SSH o alla console seriale
• Indirizzo e-mail di ripristino preimpostato (# user recovery-email set <email address>)
• Unità USB (qualsiasi dimensione: Formattato come FAT32, ext2, ext3, ext4, MSDOS o iso9660)
• Accesso fisico a Data Domain per inserire l'unità USB.

Procedura di reimpostazione della password:

1. Dopo 3 tentativi di accesso non riusciti tramite CLI (SSH o console seriale), il sistema visualizzerà un errore: "Too many authentication failures" e la sessione viene disconnessa.

ssh -l sysadmin datadomain
(sysadmin@datadomain) Password: <attempt1>
(sysadmin@datadomain) Password: <attempt2>
(sysadmin@datadomain) Password: <attempt3>
Received disconnect from <IP> port 22: Too many authentication failures
Disconnected from <IP>

2. Ristabilire immediatamente la connessione CLI e viene visualizzato il prompt "reset password"; Immettere "Yes" per reimpostare la password quando richiesto.

# ssh -l sysadmin <datadomain>
Data Domain OS
(sysadmin@datadomain) Do you want to reset password [ yes | no ] ? yes
Password reset token is sent to registered email address: <s****e@somewhere.com>

3. Un messaggio e-mail contenente un file < token recovery_token.txt> viene inviato all'account "recovery email".
4. Copiare il < file recovery_token.txt> contenuto nell'e-mail in un'unità USB, assicurandosi che il nome del file rimanga invariato. I file system supportati per USB sono FAT32, ext2, ext3, ext4, MSDOS e iso9660.
5. Inserire l'unità USB in una qualsiasi porta USB disponibile sul sistema PowerProtect DD interessato.
6. Accedere come sysadmin o security officer per accedere alla CLI di PowerProtect DD e seguire le istruzioni per reimpostare la password di sysadmin o security officer.

# ssh -l sysadmin <datadomain>
Data Domain OS
Do you want to reset password [ yes | no] ? yes   
USB drive with valid token is found.   (**)
Enter new password:
Re-enter new password:
sysadmin password changed successfully.
Please remove USB with token.

(**) Se un'unità USB NON è inserita (o ha un token non valido), viene generato un nuovo token dallo script di ripristino (come mostrato nel passaggio 2).

Riferimenti e contenuti supplementari:

• Guide di riferimento per amministratori o comandi di DDOS - Hub di informazioni su Dell PowerProtect Data Domain
• Data Domain: Connessione al sistema Data Domain con un cavo seriale (in inglese)

La funzione deve essere stata configurata PRIMA che la password venisse persa o dimenticata, utilizzando il comando:

# user recovery-email set <email id>

To check if a recovery account is configured: 
# user recovery-email show
Password recovery email address for sysadmin is: someone@somewhere.com

Deve essere impostato anche per ogni singolo utente che utilizza quel comando.