はじめに
このドキュメントでは、Maglevユーザのパスワードをロック解除またはリセットする方法について説明します。
背景説明
Maglevアカウントがロックアウトされている場合は、ログインしてロックを解除することはできません。Maglevユーザのパスワードのロックを解除またはリセットするには、イメージをCisco IMC vKVMにマウントする必要があります。これにより、シェルにアクセスし、ユーザやパスワードをリセットできます。
前提条件
オンプレミス(物理アプライアンス)の要件
仮想アプライアンス(ESXi)の要件
ISOのダウンロード
ISOをデータストアISOファイルの場所またはvSphere/vCenterのコンテンツライブラリにアップロードします。
VM(仮想マシン)へのCD/DVD romの追加
ブート遅延をより大きな値に変更する
使用するコンポーネント
この操作はUbuntu 18.04イメージで実行されました。イメージが異なると、時刻と結果も異なります。
一部の環境では、Ubuntuデスクトップに到達するのに最大2時間かかることが確認されていますが、ほとんどのお客様の場合、プロセスは30分以内に完了します。
この操作は、Ubuntuデスクトップバージョンに限定されるものではありません。必要なのは、シェルへのアクセスだけです。シェルアクセスを提供するUbuntuイメージは、この操作に対して動作します。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
注 :DR環境でも同じ手順を使用できます。ただし、次の点に注意してください。
***パスワードの回復/リセット方法を試行する前に、ディザスタリカバリが一時停止状態であることを確認します***
1+1+1のDR導入では、このプロセスが完了する間、対応するサイトがダウンします。
3+3+3では、3つすべてのノードでパスワードを更新する場合は、1回に1つのノードを実行して、他の2つのノードが使用可能であることを確認し、不要なDRフェールオーバーを回避します。
手順1a:ライブCDからの起動(オンプレミス)
Cisco IMC GUIにログインし、Launch KVM を選択してから、Virtual Media > Activate Devices の順に選択します。
次に、Map CD/DVD の順に選択します。
その後、Browse を選択し、ローカルシステムにダウンロードしたUbuntu ISOイメージを選択します。Ubuntuイメージを選択したら、Map Drive ボタンを選択します。
次に、電源>システムのリセット(ウォームブート) を行ってアプライアンスの電源を再投入します。
システムのリブートが完了したら、Ciscoロゴが表示されたらF6 キーを押します。
次のような画面が表示されるため、正しく動作しなかったようです。
しかし、2番目の画面が表示され、ブートメニューに入っていることがわかります。シスコの最初の画面でF6 を押し忘れた場合は、ここで押すことができます
ブートメニューがポップアップ表示されたら、Cisco vKVM-Mapped vDVD1.24 というオプションを選択します。これにより、アプライアンスは以前に選択したマッピング済みUbuntuイメージから起動します。
手順1b:ライブCDからの起動(VA - ESXi)
vCenter/vSphereで、VMが配置されている場所に移動し、VMを右クリックして、Edit Settings をクリックします。そこから、ADD NEW DEVICE をクリックして、CD/DVD Drive を選択します。
これで、CD/DVDドライブが設定ページに「New CD/DVD Drive 」と表示されるようになります。ISOをデータストアISOファイル にアップロードした場合は、CD/DVD用にそのオプションを選択します。それ以外の場合は、コンテンツライブラリISOファイル を選択します。
ブートに使用するISOファイルを選択します。この手順では、Ubuntu 18.04 ISOを使用します。
次に、New CD/DVD Drive の右側にあるConnected のボックスが有効になっていることを確認します。
設定画面の上部にあるVMオプション をクリックします。次に、Boot Options の下矢印をクリックして、Boot Delay の値を、10000などの大きい値に変更します。これにより、VMの再起動後にブートメニューに入るオプションを確認する時間が与えられます。
次に、VMを再起動して、ISOから起動するブートメニューにアクセスできるようにします。
ステップ2a:Ubuntu ISOへのロード
***注:スクリーンショットは、Ubuntuデスクトップに到達するのにかかる時間を示しています。0.***
これは、最初に表示される画面です。何も起こっていないように見えますが、ただ待ちます。ラボでは、この画面が40秒間表示されます
その後、画面は約30秒間完全に黒くなり、Ubuntuロード画面が表示されます。この画面は、移動する前に5分強この画面に表示されていましたが、導入環境によって時間が異なる可能性があります。
次に、問題が発生したことを示す画面が表示されますが、これは予想どおりの結果です。ラボでは、次に進む前に、この画面が2分間表示されました
画面は約3分間黒い画面に戻り、前の画面は数分間再び点滅し、さらに2分間黒い画面に戻りました。
次に、ライブセッションユーザを選択するオプションが表示されます。「Ubuntuデスクトップを試す」オプションが表示されたら、そのオプションを選択します。このユーザーの続行を歓迎します。
ユーザを選択すると、Ubuntuデスクトップが表示される前に、画面が再度黒くなります。
***注意:一部の環境では、この段階まで最大2時間かかることが確認されています***
手順2b:必要なパーティションをマウントする
UbuntuデスクトップGUI環境にアクセスしたら、ターミナルアプリケーションを開いて次の手順を実行する必要があります
一時的なマウントポイントを作成します。
rootパーティションとvarパーティションをシステムにマウントします。
仮想ファイル・システムを一時的なマウント・ポイントにマウントします。
まず、次のコマンドを使用して、一時マウントポイントを作成します。
sudo mkdir /altsys
次に、マウントするルートパーティションとvarパーティションを見つける必要があります。lsblk -fm コマンドを使用して、"/" (ルート)および"/var" にマウントするパーティションを検索できます。次の手順でmountコマンド用に指定したパーティションを書き留めます
/var の場合は、9.5G または168G のパーティションを探します。この場合はsdb3 です。
/ (root)の場合は、28.66G または47.7G のパーティションを探します。この例では、sda2 です
varパーティションとrootパーティションを特定したら、それらをマウントします。
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions
sudo mount /dev/sdb3 /altsys/var # use the disk with up to 5 or 6 partitions
rootとvarがマウントされたら、ファイルシステムをマウントします。
sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev /altsys/dev
sudo mount --bind /sys /altsys/sys
パスワードを変更するか、Maglevアカウントのロックを解除する前の最後の手順は、一時マウント環境に変更することです。
sudo chroot /altsys
使用例1: Maglevアカウントのロック解除
手順1: maglevユーザーがロック解除されていることを確認します
grep maglev /etc/shadow
maglev:! $6$6jv RGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
パスワードハッシュの前に感嘆符(!)があるかどうかを確認します。存在する場合は、アカウントがロックされていることを示します。コマンドを入力してユーザのロックを解除します。
次のコマンドでmaglevユーザのロックを解除します。
usermod -U maglev
ステップ2:失敗したカウントのリセット
/etc/shadow ファイル内で、ハッシュの前にエスカレーションマークが表示されていない場合は、ログイン失敗の制限を超えています。失敗したログイン試行をリセットするには、次の手順を使用します。
maglevユーザの失敗したログイン試行を検索します。
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From maglev 454 11/25/20 20:24:05 x.x.x.x
ここに示すように、ログインの試行回数はデフォルトの6回よりも多くなっています。 これにより、障害数が6未満に減少するまで、ユーザはログインできなくなります。次のコマンドを使用して、ログイン障害カウントをリセットできます。
sudo pam_tally2 -r -u maglev
カウンタがリセットされたことを確認できます。
sudo pam_tally2 -u maglev
Login Failures Latest failure From maglev 0
使用例2:Maglevユーザパスワードのリセット
ステップ1:Maglevユーザパスワードをリセットする
# passwd maglev Enter new UNIX password: #Enter in the desired password Retype new UNIX password: #Re-enter the same password previously applied Password has been already used. passwd: password updated successfully #Indicates that the password was successfully changed
ステップ2:Cisco DNA Center環境で正常にリブートする
KVMウィンドウでPower をクリックしてから、Reset System (warm boot) をクリックします。これにより、システムがリブートし、RAIDコントローラを使用してブートするため、Cisco DNA Centerソフトウェアが起動します。
ステップ3:Cisco DNA Center CLIからMaglevユーザパスワードを更新する
Cisco DNA Centerソフトウェアが起動し、CLIにアクセスできるようになったら、sudo maglev-config update コマンドを使用してMaglevパスワードを変更する必要があります。この手順は、変更がシステム全体に影響を与えることを確認するために必要です。
構成ウィザードが起動したら、ウィザードを完全に移動して、ステップ6でMaglevパスワードを設定できる画面を表示する必要があります。
Linux Password とRe-enter Linux Password の両方のフィールドにパスワードを設定したら、next を選択してウィザードを完了します。ウィザードが設定のプッシュを完了すると、パスワードが正常に変更されます。新しいSSHセッションを作成するか、CLIでコマンドsudo -i を入力して、パスワードが変更されたことをテストできます。
ステップバイステップのビデオガイド
リンクを使用して、このワークフロー用に作成された手順のビデオにアクセスしてください。
画像はTomas De LeonおよびFaisal Mehmood提供