[Tuto] Débloquer via ssh compte admin verrouillé après mise à jour

[xpeno1]

Bonjour a tous & toutes cher Xpenology.

 

Donc j'ai eut un prob et je voulais simplement partager ma "solution" avec la communaute Xpenology.

Ma solution a 2 centimes m'a sauver mes 2 balls... Donc ca peut toujours servir? Login impossible to DSM avec aucun USER connu meme pas avec admin!

ERREUR --> You are not authorized to use this service

Traduction (o mieux) : Vous n'etes pas authoriser a utiliser ce service

 

La situation:

Je suis sous ESXI. Avec Xpenology DSM 5.2

Upgrade vers la 6.XX avec Jun 1.0.XX

A la question install a "neuf ou propre" j'ai decider de garder tous les data et surtout ma config... donc une vrai upgrade avec conservations de tous les anciens parametrage!

 

Avec XYZ raison.... Je me retrouve avec ---> "You are not authorized to use this service"

Aucun utilisateur ne passs!! l'utilisateur Admin dis "Mauvais mot de pass" ???

--------------*******************-------------

CECI est strictement un probleme XPENOLOGY! Sur une vrai Synology machine utiliset le bouton reset et google... vous perdez la config il me semble... mais pas vos donnee.

---------------***************--------------

 

MAIS... Attendez! J'ai access a SSH!!  lol     (Donc ----> Il faut SSH active pour cette manip)

Mes user "administrator" accede as SSH!

 

Donc google:

--> https://superuser.com/questions/1191594/cannot-log-in-to-dsm-synology-nas#1191644

Et aussi  ---> https://forum.synology.com/enu/viewtopic.php?t=122069

 

Pas de chance pour moi! Cette manip NE fonction tous simplement PAS pour moi!

En bref: Il semblerai que DSM6.XX a reseter ou mise a jour le mot de passe du compte "Admin" sans me demander mon avis. Et durant l'update TOUS mes "ancien" utilisateurs (meme ceux administrateur) non plus "access au desktop" donc je me retrouve avec un DSM locker ou enprisonner... fermer... bloquer... Mot de pass inconnu pour "admin"....

 

Idee changer mot de passe sous SSH! --> https://www.somethingsomewhere.net/reset-root-password-on-synology-dsm-6-0-x/

-- Donc : 

sudo synouser --setpw username newpasswd

-- Pas de bole "Admin" est désactiver par défaut par DSM pour des raison de sécurité qu'ils disent.

Comment je sais que "admin" est desactive?? Parce que quand je me "Loggin" admin avec le nouveau mot de passe sur DSM... DSM me dis gentiment que ce compte est desactive!!!

 

--> Comment reactive ou ENABLE cette utilisateur "Admin" ------> synouser

---------------------------------------SSH---------------

Verifion l'utilisateur "Admin" STATUS:

~$ sudo synouser --get admin
User Name   : [admin]
User Type   : [AUTH_LOCAL]
User uid    : [1024]
Primary gid : [100]
Fullname    : [system admin]
User Dir    : [/var/services/homes/admin]
User Shell  : [/bin/sh]
Expired     : [true]
User Mail   : []
Alloc Size  : [131]
Member Of   : [3]
(100) users
(101) administrators
(25) smmsp

XPENOLOGY~$ sudo synouser
Copyright (c) 2003-2017 Synology Inc. All rights reserved.
Usage: synouser (Version 15047)
        --help
        --rebuild {all|(domain Force{0|1})|(ldap Force{0|1})}
        --enum {local|domain|ldap|all|domain_used}
        --enumpre {local|domain|all|domain_used} prefix Caseless{0|1}
        --enumsub {local|domain|all|domain_used} substr Caseless{0|1}
        --get username
        --getuid UID
        --add [username pwd "full name" expired{0|1} mail privilege]
        --modify username "full name" expired{0|1} mail
        --rename old_username new_username
        --setpw username newpasswd
        --del username1 username2 ...
        --login username pwd
        --dbopen2 username
        --filesetpw filename
        --create_homes {domain|ldap}

 

Utiliser synouser genre:  

sudo synouser --modify admin "System Admin" 0 admin@xpenology.com

 

Resultat Apres: 

User Name   : [admin]
User Type   : [AUTH_LOCAL]
User uid    : [1024]
Primary gid : [100]
Fullname    : [system admin]
User Dir    : [/var/services/homes/admin]
User Shell  : [/bin/sh]
Expired     : [false]
User Mail   : [admin@xpenology.com]
Alloc Size  : [131]
Member Of   : [3]
(100) users
(101) administrators
(25) smmsp

-----------------------------------------------SSH ---------------------------

 

La!! DSM m'ouvre ses porte avec Admin!!! 14 package a reparer et 4-6 package a mettre a jours!!

Nouvelle machine DS3615 - 6.1.xxx avec Jun V1.0.2b  8GB Ram 2 cores.

Tous mes setting et utilisateurs sont present comme apres une simple mise as jour!!

Pour les goupes ou utilisateur "qualifier" pour logger sur DSM---> onglet "Application" ---> option "Desktop"

 

En bref: SSH est tres tres utile!! n'oublier pas de l'activer!!

Edited September 19, 2017 by Polanskiman
Titre édité car non conforme et non représentatif du contenu + ajout tag code

[nicoueron]

Merci pour ce tuyau.

 

Pour info, l'avantage que tu as quand tu es sur ESXi (comme moi d'ailleurs) est qu'il est possible de se connecter aussi via le port série de la VM. Ceci est rendu possible par l'hyperviseur si tant est qu'on dispose d'une seconde VM disposant elle aussi d'un port série. Ensuite avec un simple putty et en sélectionnant le bon port COM on dispose des mêmes accès qu'en SSH. En plus en règle général le SSH est désactivé il me semble par défaut.

 

Je dois avouer que cette technique du port série m'a sauvé 3 fois la vie. Car pour rappel le hack de Jun, une fois lancé ne présente pas le prompt permettant de saisir d'éventuelles commandes. Or avec le port série oui! D'ailleurs on arrive à suivre toutes les étapes du boot. A bon entendeur!

Edited September 21, 2017 by nicoueron

[xpeno1]

Merci @nicoueron pour ton tuyau aussi!

 

Ton port serie ma sortie du petrain aussi!!

Je me suis amuser avec Active Directory... Et aussi "Configuration backup" et recupere les utilisateurs d'une xpenologyA vers une autre machine XpenologyB.

Je desirais recupere des utilisateurs... du genre une 30n users. Pas envie de tapez 30n setting (nom, password etc...). Et une machine test xpenologyB.

 

Je me suis retrouver avec le meme probleme de ce tuto : ERREUR --> You are not authorized to use this service

!!!! MAIS PAS ACCES as SSH ou Telenet!!!

 

Donc je me suis rappeler de ton port SERIE et LA, je me connect!!!

DONC --->  SI la machine te parle ta pas perdue la partie... Mais si la machine ne te parle plus... t'as surement perdue la partie et gagner une reinstall en vue.

Et avec la solution "sudo synouser" pour reactiver ADMIN, j'ai restaurer l'acces a web DSM.

 

Donc conclusion:

Pour des raison encore mal compris. Xpenology peut deselectionner l'option Desktop ou "Bureau"? pour les utilisateur ou group. Cette option vous permet de vous connecter a DSM via l'interface WEB. Et cela meme pour le group Administrateurs. Comme le compte ADMIN est un compte special et appart il n'est pas affecter. MAIS il se peut que sont mot de passe est changer ou Blanc "vide" et donc pas valide puisque certain service require un mot de passe. Et certain! qu'il est deactiver par defaut! (une fois vous avez creez un utilisateur apres install).

Donc il faut absolument un compt membre du group Administarteurs... Un administrateurqui qui est valide : non deactiver!

---->>> Ma declaration disant qu'il faut absolument SSH (ou au moins telnet) est faux!

Meme si pas de telnet ou SSH activer ou enable, la partie n'est pas perdu. Il est possible de parler avec la machine xpenology sur le port serie (puisque le port video est deactiver donc le port txt qui est le seire dois etre activer: sinon comment parler avecla machine  xpenology??. Certain vont me dire mais VGA est activer, il y a du text a l'ecran!! OUI mais ca c'est le txt du bootloader or fake bios?... Ou est la sortie de Xpenology?? le Web DSM?? NON DSM est just linterface apply que  Xpenology fait tourner. Pour parler as xpenology il faut lui parler en Linux... en CMD line TXT)

 

Comment proceder sur un BAR METAL install:

Trouver un cable serie (male/femal) connecter le sur votre Xpenology machine et de l'autre sur votre machine de travail... Et utiliser terminal ou puTTY du genre.

--> Vous vous rapeler des petite souris avec cable serie??? Ben c'est de ce genre sauf qu'a la place de la sourie vous aves un connecteur serie qui se connect a la machine! 

Question??

- Bon maintenant la question est... la plus part des nouvel machine n'ont plus de port serie.... la!! bonne chance?  peut etre un usb avec port serie (usb --> serie) ? Mais faudrait savoir si la machine xpenology va le reconnaitre?? drivers???  cable usb console...  https://www.amazon.fr/s/ref=nb_sb_noss_1/261-6134351-5397534?__mk_fr_FR=ÅMÅŽÕÑ&url=search-alias%3Daps&field-keywords=usb+port+serie

- Pour votre poste de travil, il suffit d'avaoir un cable console: https://www.amazon.fr/s/ref=nb_sb_noss_2?__mk_fr_FR=ÅMÅŽÕÑ&url=search-alias%3Daps&field-keywords=usb+console&rh=i%3Aaps%2Ck%3Ausb+console

- SINON ben bon chance et bonne install!

 

Comment creez un port serie sur Esxi:

- La version avec image mais simple: https://www.juniper.net/documentation/en_US/vmx15.1f4/topics/task/configuration/vmx-vm-connecting-vmware.html

- La version plus compliquer sans image mais du Maitre: https://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc_50%2FGUID-95F75E85-1944-4FE7-A909-66E920682312.html

- Le Maitre vous parle en FRANCAIS: https://docs.vmware.com/fr/VMware-vSphere/6.5/com.vmware.vsphere.html.hostclient.doc/GUID-32E0ACD8-0311-48CA-A97F-7ECD1CE0AD71.html

 

Une fois vous vous etes connecter vous savez quoi faire.

Edited October 19, 2017 by xpeno1

[nicoueron]

En fait le plus simple aurait été que le loader nous rende la main plutôt que de figer... Mais je ne désespère pas qu'un jour on y revienne!

[ccosta]

Bonsoir,

 

Super tuto !!!

 

Je bute sur la connexion en port série.

 

Je n'ai malheureusement pas accès en ssh ni en telnet, mais en ftp, smb, ... et mon xpeno est bien en vie...

 

Pouvez vous m'aider à configurer le port série de la machine ?

 

J'ai essayé de me connecter en telnet avec le port que je lui ai indiqué et en mettant l'ip de mon esxi, direction client (et non server) mais connection time out ...

 

Merci et bonne soirée

 

Edited December 27, 2017 by ccosta

[xpeno1]

@ccosta Desoler du temps de reponse... Partie en vacance lol

 

Si SMB fonctionne bien dans ce cas, la perte des données est un minimum. SAUVEGARDE tes données!!

 

Tout 1erment, ce tuto requière un port série:

  1- Bare métal: as tu un port série (physique lol)?

  2- VM: As tu installer le port série correctement? regarde tuto. N'oublie pas d'activer/autoriser le service port série sur ESXI ou ton hyperviseur. Désoler c'est en Anglais... Regarde les images lol https://www.youtube.com/watch?v=_od1xnF2Kuw

 

2 situations pour ton Xpenology:

Cette manip n'est utile que SI ton Xpenology fonctionne correctement ET tu as perdu/oublier l'accès "admin"  a ton Xpenologie: Traduction, aucun de tes utilisateur admin ne peut y accéder. ET que tu as au  moins un admin avec un bon/valide mot de passe lol (Pas possible de te loger ou autoriser a faire les manip avec Telnet ou pas...).

 

1- Si tu te connecte en browser (Chrome, fire fox, IE) sans aucun message erreur comme a la normal. Et lorsque que tu te log tu as un message genre "Vous n’êtes pas autoriser a utiliser ce service" Et optionnellement: tes utilisateurs "non Administrateur" y ont accès comme d'hab. Alors ce tuto est utile.

 

2- Si tu as 1 port série correctement configurer. Par défaut TELNET fonctionne sur Xpenology pour compenser le manque du port "VGA".

Si tu te connecte en browser et tu as un/des message erreur... Il est très fortement probable que ta config as des problèmes et que le "service SSH" ou TELENET font partie des problemes... Service qui ne démarre plus...

 

Si tu est dans situation 1 alors vérifie la config de ton port série.

Si tu est en 2... Prépare toi a une réinstallation sans perte de donnée ou regarde d'autre tutos qui pourraient être utiles.

 

Si je me trompe corrigez moi.

Merci

 

Edited January 14, 2018 by xpeno1

[DJR72]

Bonjour,

 

Dans les cas désespérés, sachez qu'il est toujours possible de monter la partition / disque contenant le DSM dans un linux quelconque.

 

Pour ma part, j'ai déjà fait le test / ce type de manips sous linux : faire un mount de la partition DSM dans une autre VM Linux ou, si l'hôte hébergeant votre hyperviseur est un linux, vous pouvez aussi le faire directement. (Archlinux et l'hyperviseur open source KVM dans mon cas)

 

Cela fonctionne, bien qu'il faille quelque peu batailler sur la partie reconnaissance de disque. Une fois le disque / partition montée nous avons à faire à un linux (certes customisé) ce qui veut dire que les fichiers sur lesquels vous pouvez intervenir sont :

 

• /etc/ssh/sshd_config dans lequel vous pouvez (ré)autoriser la connexion en root si besoin
• /etc/shadow dans lequel certains comptes peuvent être désactivés en positionnant un 1 entre les derniers deux points :1:

 

Ci-après un extrait de mon fichier /etc/shadow avec une installation de base ou didier est l'utilisateur qui a été créé lors de la première connexion (niveau admin donc). NB : j'ai raccourci les passwd des users admin, didier et guest pour avoir un affichage plus compact 

admin:$6$CWdHt5aUA$YQKx1hnsOfZc1MxlbT3z7rUFF1:18237:0:99999:7::1:
anonymous:*:10933:0:99999:7:::
avahi:*:10933:0:99999:7:::
bind:*:10933:0:99999:7:::
daemon:*:10933:0:99999:7:::
dbus:*:10933:0:99999:7:::
didier:$6$5yqFZ/oBp$J7A/U9yWstr35WFCc7MxaKiMin:18237:0:99999:7:::
dovecot:*:10933:0:99999:7:::
FileStation:*:18237:0:99999:7:::
ftp:*:10933:0:99999:7:::
guest:$6$rU8yySyQcgO5DlNr$cqZUEo1FLOeEfA9v8CF1:18245:0:99999:7:::

une copie du fichier /etc/passwd (un extrait) dans lequel vous verrez que didier et admin appartiennent tous les deux au groupe 100

admin:x:1024:100:System default user:/var/services/homes/admin:/bin/sh
anonymous:x:21:21::/nonexist:/usr/bin/nologin
avahi:x:84:84::/:/bin/false
bind:x:53:53::/:/usr/bin/nologin
daemon:x:2:2::/:/bin/sh
dbus:x:81:81::/:/usr/bin/nologin
didier:x:1026:100::/var/services/homes/didier:/bin/sh

Et pour terminer le fichier group (un extrait) dans lequel on voit que didier et admin appartiennent au même groupe

#$_@GID__INDEX@_$226662$
administrators:x:101:admin,didier

 

Au passage, je rappelle pour les non linuxiens qu'il est toujours possible d’accéder en ssh en tant que root; et donc de s'affranchir du compte administrateur. Pour cela il faut commencer par faire un sudo passwd root, mettre le mot de passe de votre choix, puis débloquer la possibilité de se connecter en root dans le fichier /etc/ssh/sshd_config.

Pendant que vous y êtes, je suggère (fortement) de désactiver les connexions avec mot de passe pour privilégier les connexions via des clés ssh. Cela vous mettra au moins à l'abri d'une attaque par dictionnaire de mot de passe.

 

Pour rappel, les bonnes pratiques visent à ne pas utiliser le compte root mais de passer par un sudo. Toutefois, cela peut vous êtes très utile d'autant que ce compte vit sa vie complètement de manière indépendante en dehors du compte administrateur (...)

 

Sinon, pour ceux qui souhaitent se connecter en port série sous l'hyperviseur open source KVM la commande est :

 

• virsh console [nom_de_la_VM appelé aussi domain] --console --force

 

C'est aussi beaucoup simple (et sécur) que de monter les disques j'en conviens ! ;-))...j'aurais peut être du commencer par là, non ?

Edited December 24, 2019 by DJR72

[rodrigue7973]

salut je vais t'aider mais manque url est mort https://www.somethingsomewhere.net/reset-root-password-on-synology-dsm-6-0-x/

veux tu corrigé un lien internet

merci