概要
このドキュメントでは、クレデンシャルが失われた後にSD-WAN vSmartおよびvBondアクセスを回復する方法について説明します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題
vBondsおよびvSmartsへのアクセスが失われました。これは、ユーザがクレデンシャルを知らない、または記憶していない場合や、いずれかのインターフェイスにログインしようとして過剰に失敗した後にアクセスがロックされた場合に発生します。同時に、vManage、vSmarts、vBonds間の制御接続も確立されます。
解決方法
ステップ 1:必要に応じてクレデンシャルのロックを解除する
次の手順は、ロックされたユーザ名を特定し、そのロックを解除する方法を示しています。
- ログイン試行の失敗回数が多すぎるためにアカウントがロックされた場合は、ユーザ名を入力するたびに「Account locked due to X failed logins」というメッセージが表示されます。
host:~pc-host$ ssh admin@172.18.121.104 -p 22255
viptela 20.6.3
(admin@172.18.121.105) Account locked due to 6 failed logins <<<
オプションA. vManage GUIからクレデンシャルをロック解除する
資格情報がロックされていることを確認したら、ロックを解除する必要があります。vManageを使用すると、この操作を簡単に実行できます。
- vManage GUIから任意のデバイスのクレデンシャルを手動でロック解除できます。
[vManage] > [Tools] > [Operational Commands] > [Device] > [...] > [Reset Locked User] > [Select User] > [Reset] に移動します。
選択肢B:追加のクレデンシャルを設定したデバイスにSSHで接続する
ロックされたクレデンシャルを確認するデバイスに追加のNetadminクレデンシャルを使用してSSH接続を確立している場合でも、CLIからロックを解除できます。
request aaa unlock-user username
- クレデンシャルのロックを解除してもログインに失敗する場合は、パスワードを変更する必要があります。
ステップ 2:CLIテンプレートを使用したアクセスの回復
デバイスのパスワードの変更に役立つCLIテンプレートを作成する必要があります。CLIテンプレートがすでに作成され、デバイスに接続されている場合は、ステップ3に進みます。
オプションA. CLIテンプレートに実行コンフィギュレーションを直接ロードする
vManageでは、デバイスからCLIテンプレートに実行コンフィギュレーションを簡単にロードできます。
注:このオプションは、vManageバージョンによっては使用できません。オプションBを確認できます。
[vManage] > [Configuration] > [Templates] > [Create Template] > [CLI template] に移動します。
- 選択したデバイスモデルに基づいて、vManageが実行コンフィギュレーションをロードするデバイスを選択できます。
- テンプレートを作成するには、[Device Model]、[Template Name]、および[Description]の値を入力する必要があります。
- CLIテンプレートで設定が生成されたら、ステップ4を確認してパスワードを変更できます。
オプションB. vManageデータベースから設定をロードする
CLIで設定を自動的にロードできない場合でも、手動でデバイスの設定を取得し、その情報からCLIテンプレートを作成できます。
- vManageは常に、データベースに保存されているすべてのデバイスからバックアップ設定を取得します。
[vManage] > [Configuration] > [Controllers] > [Device] > [...] >Running Configuration vManage] > [Configuration] > [Controllers] > [Device] > [...] > [Local Configuration] に移動します。
注:実行とローカルの設定。実行コンフィギュレーションとは、vManageがデバイスの設定情報を要求する必要があることを意味します。ローカル設定とは、vManageがすでにデータベースに保存されている情報を表示することを意味します。
- ローカルコンフィギュレーションがポップアップ表示されたら、コンフィギュレーション全体をNotePadにコピーできます。
- 新しいCLIテンプレートを作成する必要があります。
[vManage] > [Configuration] > [Templates] > [Create Template] > [CLI template]に移動します。
- テンプレートを作成するには、[Device Model]、[Template Name]、[Description]、および[Config Preview]の値を入力する必要があります。ローカル設定からコピーした設定を設定プレビューに貼り付ける必要があります。
注意:vBondでは、vEdgeクラウドを選択する必要があります。その他のデバイスには、それぞれ固有のモデルがあります。
ステップ 3:新しい資格情報
テンプレートの作成後、暗号化されたパスワードを置き換えたり、新しいクレデンシャルを追加したりできます。
選択肢A.失われたパスワードを変更する
既知のパスワードを使用するように設定を変更できます。
- 暗号化されたパスワードを強調表示して、プレーンテキストで置き換えることができます。
注:このプレーンテキストのパスワードは、テンプレートのプッシュ後に暗号化されます。
選択肢B. Netadmin権限で新しいユーザ名とパスワードを追加する
パスワードの変更が許可されていない場合は、新しい資格情報を追加してアクセスを確保できます。
user newusername < Creates username
password password < Creates the password
group netadmin < Assigns read-write privileges
- [Add] をクリックして、テンプレートを保存します。
ステップ 4:デバイスへのテンプレートプッシュ
次の手順では、CLIテンプレートをデバイスにプッシュして、実行コンフィギュレーションを変更します。
- テンプレートを保存した後、デバイスに添付できます。
[vManage] > [Configuration] > [Templates] > [Select the Template] >... >デバイスを選択> [Attach] に移動します。
- Attachをクリックして、設定のプレビューを確認します。
- Config Diffを確認すると、パスワードが変更されたか、新しいクレデンシャルが追加されたかのいずれかが確認できます。
- テンプレートをプッシュするには、[Configure Devices] をクリックします。
- vManageがTemplateプッシュが正常に終了したことを確認した後、新しいクレデンシャルを使用してSSH経由でデバイスにアクセスできます。