Maglev-Benutzerkennwort des Cisco Catalyst Centers zurücksetzen
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie Sie das Kennwort für den Maglev-Benutzer entsperren und/oder zurücksetzen können.
Hintergrundinformationen
Wenn das Maglev-Konto gesperrt ist, können Sie sich nicht anmelden, um es zu entsperren. Um das Kennwort für den Maglev-Benutzer zu entsperren und/oder zurückzusetzen, müssen Sie ein Image auf Cisco IMC vKVM mounten. Dadurch können Sie auf die Shell zugreifen und den Benutzer und/oder das Kennwort zurücksetzen.
Voraussetzungen
Anforderungen für standortbasierte (physische Appliance)
-
Sie müssen ein ISO-Image für Ubuntu 18.04 oder neuer von https://ubuntu.com/download/desktop herunterladen. Wir empfehlen 18.04, da es sich um dieselbe Version wie Cisco Catalyst Center handelt.
- Nachdem die ISO-Datei auf das lokale System heruntergeladen wurde, müssen Sie sie auf dem Cisco Integrated Management Controller (CIMC) KVM montieren.
- Sobald die ISO-Einheit am KVM montiert ist, müssen Sie von der ISO-Einheit booten.
- Sobald Sie auf Ubuntu zugreifen können, mounten Sie die Root- und var-Verzeichnisse auf das System.
- Nachdem Sie die Root- und var-Verzeichnisse gemountet haben, können Sie das Maglev-Benutzerkonto entsperren und ändern.
- Schließlich starten Sie die Appliance neu, bestätigen Sie, dass Sie sich mit Maglev anmelden können, und setzen Sie das Kennwort mithilfe des Konfigurationsassistenten zurück.
Anforderungen für virtuelle Appliances (ESXi)
- ISO herunterladen
- Laden Sie ISO in das Verzeichnis der ISO-Datei für den Datenspeicher oder in die Inhaltsbibliothek in vSphere/vCenter hoch.
- Hinzufügen eines CD-/DVD-ROMs zum virtuellen System (virtuelles System)
- Ändern Sie die Startverzögerung auf einen größeren Wert.
Verwendete Komponenten
Dieser Vorgang wurde auf Ubuntu 18.04-Image ausgeführt; ein anderes Image erzeugt unterschiedliche Zeiten und Ergebnisse.
In einigen Umgebungen dauerte es bis zu 2 Stunden, um den Ubuntu-Desktop zu erreichen, aber für die meisten Kunden ist der Prozess innerhalb von 30 Minuten abgeschlossen.
Dieser Vorgang ist nicht ausschließlich auf die Ubuntu-Desktop-Version beschränkt. Alles, was erforderlich ist, ist der Zugriff auf die Shell. Jedes Ubuntu-Image, das Shell-Zugriff bereitstellt, funktioniert für diesen Vorgang.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweis: Sie können das gleiche Verfahren in einer DR-Umgebung verwenden. Beachten Sie jedoch folgende Punkte:
*** Stellen Sie sicher, dass sich die Notfallwiederherstellung im Zustand PAUSE befindet, bevor Sie versuchen, ein Kennwort wiederherzustellen/zurückzusetzen ***
Bei einer 1+1+1-DR-Bereitstellung ist der entsprechende Standort ausgefallen, während dieser Prozess abgeschlossen ist.
Wenn Ihre Kennwörter auf allen drei Knoten aktualisiert werden sollen, sollten Sie dies in einer 3+3+3-Konfiguration mit einem Knoten nach dem anderen tun, um sicherzustellen, dass die beiden anderen Knoten verfügbar sind, um ein unnötiges DR-Failover zu vermeiden.
Schritt 1a: Starten von Live-CD (standortbasiert)
Melden Sie sich bei der Cisco IMC-Benutzeroberfläche an, wählen Sie KVM starten und dann Virtual Media > Activate Devices (Virtuelle Medien > Geräte aktivieren).
Wählen Sie dann Karte CD/DVD.
Wählen Sie danach Durchsuchen und dann das Ubuntu ISO-Image aus, das Sie auf Ihr lokales System heruntergeladen haben. Nachdem Sie das Ubuntu-Image ausgewählt haben, wählen Sie die Schaltfläche Laufwerk zuordnen.
Schalten Sie die Einheit anschließend mit Power > Reset System (Warmstart) aus und wieder ein.
Drücken Sie nach dem Neustart des Systems die F6-Taste, wenn das Cisco Logo angezeigt wird.
Es sieht so aus, als hätte es nicht funktioniert, da es zu einem Bildschirm weitergeht, der diesem ähnlich sieht:
Es wird jedoch ein zweiter Bildschirm angezeigt, und wir können sehen, dass er in das Boot-Menü wechselt. Wenn auf dem ersten Cisco Bildschirm vergessen wurde, F6 zu drücken, können wir dies hier drücken.
Wenn das Startmenü angezeigt wird, wählen Sie die Option Cisco vKVM-Mapped vDVD1.24 aus. Dadurch wird die Appliance von dem zuvor ausgewählten zugeordneten Ubuntu-Image gestartet.
Schritt 1b: Starten von einer Live-CD (VA - ESXi)
Navigieren Sie in vCenter/vSphere zum Speicherort des virtuellen Systems, klicken Sie mit der rechten Maustaste auf das virtuelle System, und klicken Sie dann auf Einstellungen bearbeiten. Klicken Sie dort auf NEUES GERÄT HINZUFÜGEN, und wählen Sie dann CD/DVD-Laufwerk aus.
Das CD/DVD-Laufwerk wird jetzt auf der Einstellungsseite als neues CD/DVD-Laufwerk angezeigt. Wenn Sie die ISO-Datei in den Datenspeicher hochgeladen haben, wählen Sie diese Option für die CD/DVD aus. Andernfalls wählen Sie Content Library ISO File (ISO-Datei für Inhaltsbibliothek).
Wählen Sie die ISO-Datei aus, von der gebootet werden soll. Verwenden Sie für dieses Verfahren die Ubuntu 18.04 ISO.
Aktivieren Sie anschließend das Kontrollkästchen Verbunden rechts neben dem neuen CD/DVD-Laufwerk.
Klicken Sie oben im Einstellungsbildschirm auf VM-Optionen. Klicken Sie dann auf den Abwärtspfeil für Startoptionen, und ändern Sie den Wert für Startverzögerung in einen größeren Wert, z. B. 10000. Dadurch haben Sie Zeit, nach dem Neustart des virtuellen Systems die Option zum Aufrufen des Startmenüs anzuzeigen.
Starten Sie anschließend das virtuelle System neu, sodass Sie auf das Startmenü zugreifen können, um von der ISO-Datei zu starten.
Schritt 2a: Laden in die Ubuntu-ISO
*** HINWEIS: Die Screenshots veranschaulichen, wie lange es dauert, den Ubuntu-Desktop zu erreichen. ***
Dies ist der erste Bildschirm, den wir sehen. Es sieht so aus, als würde nichts passieren, aber warten Sie einfach. In der Übung sehen wir diesen Bildschirm 40 Sekunden lang
Danach wurde der Bildschirm für ca. 30 Sekunden komplett schwarz, bevor ein Ubuntu-Ladebildschirm angezeigt wird. Wir haben etwas mehr als 5 Minuten auf diesem Bildschirm verbracht, bevor es weiterging. Die Zeiten können jedoch von Bereitstellung zu Bereitstellung variieren.
Als Nächstes wird ein Bildschirm angezeigt, der andeuten kann, dass etwas schief gelaufen ist, aber das wird erwartet. In der Übung blieb dieser Bildschirm 2 Minuten lang geöffnet, bevor Sie fortfahren.
Der Bildschirm wechselte für ca. 3 Minuten zu einem schwarzen Bildschirm, der vorherige Bildschirm blinkte einige Minuten lang erneut und kehrte dann für weitere zwei Minuten zum schwarzen Bildschirm zurück.
Als Nächstes wird die Option zur Auswahl eines Live-Sitzungsbenutzers angezeigt. Wenn wir mit der Option präsentiert werden, "versuchen Ubuntu Desktop", wählen Sie diese Option. Wir freuen uns, dass dieser Benutzer fortfahren kann.
Sobald wir den Benutzer auswählen, wird der Bildschirm wieder schwarz, bevor der Ubuntu-Desktop angezeigt wird.
*** ERINNERUNG: In einigen Umgebungen dauerte es bis zu 2 Stunden, um diesen Punkt zu erreichen ***
Schritt 2b: Mounten erforderlicher Partitionen
Sobald Sie Zugriff auf die Ubuntu Desktop-GUI-Umgebung haben, müssen Sie die Terminalanwendung öffnen und diese Schritte ausführen
- Erstellen Sie einen temporären Bereitstellungspunkt.
- Mounten Sie die Root- und VAR-Partitionen im System.
- Mounten Sie die Pseudodateisysteme am temporären Mount-Punkt.
Erstellen Sie zuerst den temporären Einhängepunkt mit dem folgenden Befehl:
sudo mkdir /altsys
Als Nächstes müssen wir die Root- und VAR-Partitionen finden, die gemountet werden sollen. Wir können den Befehl lsblk -fm verwenden, um die Partition zu finden, die für "/" (root) und "/var" bereitgestellt werden soll. Notieren Sie sich die Partition, die wir für die Mount-Befehle im nächsten Schritt identifiziert haben.
Für /var suchen Sie nach einer 9.5G- oder 168G-Partition. In diesem Fall sehen wir sdb3
Suchen Sie für / (root) nach der 28.66G- oder der 47.7G-Partition. In diesem Beispiel ist dies sda2
Sobald Sie die var und die Root-Partitionen identifiziert haben, mounten Sie sie:
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions sudo mount /dev/sdb3 /altsys/var # use the disk with up to 5 or 6 partitions
Sobald root und var gemountet sind, mounten Sie die psuedo-Dateisysteme:
sudo mount --bind /proc /altsys/proc sudo mount --bind /dev /altsys/dev sudo mount --bind /sys /altsys/sys
Der letzte Schritt, bevor Sie das Passwort ändern oder das Maglev-Konto entsperren, besteht darin, in die temporäre Mount-Umgebung zu wechseln:
sudo chroot /altsys
Anwendungsfall 1: Entsperren des Maglev-Kontos
Schritt 1: Vergewissern Sie sich, dass der Maglev-Benutzer entsperrt ist
grep maglev /etc/shadow
maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
Überprüfen Sie, ob vor dem Passwort-Hash ein Ausrufezeichen steht. Wenn dies der Fall ist, weist dies darauf hin, dass das Konto gesperrt ist. Geben Sie den Befehl ein, um den Benutzer zu entsperren:
Entsperren Sie den maglev-Benutzer mit dem Befehl:
usermod -U maglev
Schritt 2: Zurücksetzen der Anzahl fehlgeschlagener Angriffe
Wenn der Benutzer keine Eskalationsmarkierung vor dem Hash in der /etc/shadow-Datei hat, wurde die Anmeldefehlergrenze überschritten. Führen Sie diese Schritte aus, um fehlgeschlagene Anmeldeversuche zurückzusetzen.
Fehlgeschlagene Anmeldeversuche für den maglev-Benutzer finden:
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 454 11/25/20 20:24:05 x.x.x.x
Wie hier gezeigt, sind die Anmeldeversuche größer als die standardmäßigen 6 Versuche. Dadurch wird dem Benutzer die Anmeldung verweigert, bis die Anzahl der Ausfälle unter sechs (6) fällt. Sie können die Anzahl der Anmeldefehler mit dem folgenden Befehl zurücksetzen:
sudo pam_tally2 -r -u maglev
Sie können bestätigen, dass der Zähler zurückgesetzt wurde:
sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 0
Anwendungsfall 2: Maglev-Benutzerkennwort zurücksetzen
Schritt 1: Maglev-Benutzerkennwort zurücksetzen
# passwd maglev
Enter new UNIX password: #Enter in the desired password
Retype new UNIX password: #Re-enter the same password previously applied
Password has been already used.
passwd: password updated successfully #Indicates that the password was successfully changed
Schritt 2: Normaler Neustart in der Cisco DNA Center-Umgebung
Klicken Sie im KVM-Fenster auf Power (Ein/Aus) und dann auf Reset System (Warmstart). Dadurch wird das System neu gestartet und mit dem RAID-Controller gestartet, sodass die Cisco DNA Center-Software hochgefahren wird.
Schritt 3: Aktualisieren des Maglev-Benutzerkennworts von der Cisco DNA Center CLI
Sobald die Cisco DNA Center-Software gestartet wurde und Sie Zugriff auf die CLI haben, müssen Sie das Maglev-Kennwort mit dem Befehl sudo maglev-config update ändern. Dieser Schritt ist erforderlich, um sicherzustellen, dass die Änderung im gesamten System wirksam wird.
Nachdem der Konfigurationsassistent gestartet wurde, müssen Sie vollständig durch den Assistenten navigieren, um einen Bildschirm anzuzeigen, in dem Sie das Maglev-Kennwort in Schritt 6 festlegen können.
Sobald das Kennwort für beide Felder Linux Password und Re-enter Linux Password festgelegt wurde, wählen Sie Weiter und schließen Sie den Assistenten ab. Wenn der Assistent die Push-Konfiguration abgeschlossen hat, wird das Kennwort erfolgreich geändert. Sie können eine neue SSH-Sitzung erstellen oder den Befehl sudo -i in der CLI eingeben, um zu testen, ob das Kennwort geändert wurde.
Detaillierte Videoanleitung
Verwenden Sie den Link, um auf das für diesen Workflow erstellte Schritt-für-Schritt-Video zuzugreifen.
Bildmaterial von Tomas De Leon und Faisal Mehmood
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
5.0 |
10-Oct-2024 |
Dokument mit den Schritten für ESXi aktualisiert |
4.0 |
27-Aug-2024 |
Video zum Dokument hinzugefügt. |
3.0 |
15-Nov-2023 |
Rezertifizierung |
2.0 |
19-Sep-2023 |
Erstveröffentlichung |
1.0 |
16-Aug-2022 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)