Se você já usou ou está ambientado a utilizar o GeoServer, deve lembrar que ao realizar a instalação, no primeiro acesso, você utiliza o usuário admin (que é o administrador do sistema).

Porém, não é desse usuário que irei falar nesse post, e sim do usuário “root” que muitos desconhecem.

Devido a natureza altamente configurável, a segurança do GeoServer pode ocasionar que um administrador interrompa a autenticação normal, desabilitando todos os usuários, inclusive as contas administrativas.

Por esse motivo, o subsistema de segurança do GeoServer contém uma conta “root” que está sempre ativa, independentemente do estado da configuração de segurança. Assim, no estilo UNIX, essa conta fornece o status de “super usuário” e destina-se a fornecer um método de acesso alternativo para corrigir problemas de configuração. É importante ressaltar que seu nome não pode ser alterado e a senha da conta “root” é a senha mestra.

Por padrão, a senha mestra é gerada e armazenada em um arquivo denominado security/masterpw.info usando texto simples (não encriptado). Ao atualizar o diretório de dados de um GeoServer existente (versões 2.1.x e inferiores), o algoritmo tenta descobrir a senha de um usuário com a permissão ROLE_ADMINISTRATOR. Se tal senha for encontrada e o tamanho da mesma tiver no mínimo 8 caracteres, o GeoServer usa essa senha como senha mestra.

Desta forma, o arquivo security/masterpw.info é um risco de segurança. O administrador deve ler este arquivo, verificar a senha mestra registrando-se no GeoServer como usuário “root” e depois disso este arquivo deve ser removido.

Por padrão, o login na interface administrativa e nas APIs REST usando a senha mestra está desativado. Para ativá-lo, você precisará alterar manualmente o Master Password Provider no arquivo config.xml, (geralmente localizado em security/masterpw/default/config.xml), adicionando a seguinte instrução:

<loginenabled>true</loginenabled>

Fonte: GeoServer Documentation