Nieuwe wachtwoordherstelprocedure configureren voor 8000- en NCS 500-platforms

Inleiding

Dit document beschrijft een nieuw wachtwoordherstelproces voor Cisco IOS® XR voor Cisco 8000- en NCS 500-platforms.

Achtergrondinformatie

Als een gebruiker het hoofdwachtwoord vergeet, of de wachtwoorden van alle gebruikers verloren zijn op XR7 LNT-platforms (Cisco 8000, NCS-540L) of eXR-platforms (ASR9K 64-bits, NCS5K, NCS5500, NCS 540, NCS 560), wordt de router ontoegankelijk voor de gebruiker aangezien login niet mogelijk is zonder de juiste gebruikersnaam/wachtwoordcombinatie. Vandaag de dag is wachtwoordherstel van een dergelijke router alleen mogelijk via router re-image met het gebruik van de USB boot methode of iPXE boot van een externe server. Het re-beeld van router impliceert opnieuw het installeren van routersoftware verfris en het laden van de apparatenconfiguratie. Het installeren van nieuwe software is een tijdrovend proces.

Vanaf versie 7.3.16 voor Cisco 8000 Series platform en versie 7.3.3 voor NCS 5500 Series platform, heeft Cisco een nieuwe methode voor wachtwoordherstel ontwikkeld zonder dat de router opnieuw hoeft te worden geïnstalleerd. Een dergelijke methode voor wachtwoordherstel vereist niet dat de software opnieuw wordt geïnstalleerd, waardoor tijd wordt bespaard en toegang tot de router na het opnieuw instellen van het wachtwoord wordt verleend. Deze nieuwe wachtwoordherstelmethode is beveiligingsstandaarden die voldoen aan de oude gebruikersinfo en gebruikersruntime-gegevens worden gewist voordat het wachtwoordherstelproces wordt gestart.

Probleem

Op dit moment is wachtwoordherstel op XR7 LNT-platforms (Cisco 8000, NCS-540L) of eXR-platforms (ASR9K 64-bits, NCS5K, NCS 5500, NCS 540, NCS 560) niet mogelijk. Het enige beschikbare alternatief om het wachtwoord opnieuw in te stellen is een nieuwe afbeelding van de router met behulp van de USB bootmethode, of iPXE boot van een externe server. Dit is een tijdrovend proces aangezien het opnieuw installeren van routersoftware en het laden van apparatenconfiguratie impliceert. Er is een snellere en beveiligde methode voor wachtwoordherstel op Cisco XR7- en eXR-platforms nodig.

Oplossing

Vanaf versie 7.3.16 voor Cisco 8000 Series platform en versie 7.3.3 voor NCS 5500 Series platform, heeft Cisco een nieuwe methode voor wachtwoordherstel ontwikkeld zonder dat de router opnieuw hoeft te worden geïnstalleerd. In het menu Grand Unified Bootloader (GRUB) van het opstartscherm van de routeprocessor (RP) wordt een nieuwe optie - Cisco IOS XR-Recovery toegevoegd, die expliciet is gemaakt voor de wachtwoordherstelprocedure. In de routerconfiguratie, wordt een nieuw herstel van het bevelsysteem gecreëerd voor het toelaten van de nieuwe eigenschap van de wachtwoordterugwinning. Dit is momenteel een optionele functie en deze is standaard niet ingeschakeld.

Voorbehouden:

• RP bios bootup GRUB schermmenu optie Cisco IOS XR-recovery kan worden gezien ongeacht de commando systeem herstel geconfigureerd of niet geconfigureerd in de routerconfiguratie. Als de opdracht voor systeemherstel niet aanwezig is in routerconfiguratie, en er wordt een nieuwe wachtwoordherstelmethode geprobeerd door de optie voor het schermmenu van bios GRUB te selecteren Cisco IOS XR-recovery, dan kan de router het wachtwoordherstelproces afbreken en met de oude configuratie opstarten. Het is dus verplicht om een opdracht voor systeemherstel op de router te hebben geconfigureerd om de wachtwoordherstelmethode te laten werken.
• De optie voor wachtwoordherstel is standaard uitgeschakeld. 
• De functie voor wachtwoordherstel moet expliciet worden ingeschakeld via Configuration Command Line Interface (CLI). RP/0/RP0/CPU0:HOSTNAME(config)#systeemherstel.

• Als de router een wachtwoordherstelprocedure ondergaat, dan kan de opdracht voor systeemherstel worden uitgeschakeld nadat de router is opgestart, aangezien alle routerconfiguratie zou worden gewist als deel van de wachtwoordherstelprocedure. Gebruikers moeten de apparaatconfiguratie opnieuw laden en de opdracht systeemherstel configureren als deze geen deel uitmaakt van de apparaatconfiguratie.
• Naast het wissen van de routerconfiguratie, kunnen alle door de gebruiker gemaakte bestanden, tonen tech-bestanden, en dumper-bestanden worden weggevaagd van zowel disk0 als vaste schijf als deel van de opschoningsprocedure tijdens wachtwoordherstel.
• Deze voorziening wordt momenteel ondersteund op 7.3.16 en hoger op Cisco 8000, 7.3.3 en hoger op NCS 5500, en voor andere XR7 LNT- en eXR-platforms kan deze voorziening in toekomstige releases beschikbaar worden gemaakt.

• Gebruik de gegeven procedure voor platforms waar beide RP-kaarten in chassis zijn geïnstalleerd. Breng beide RP-kaarten terug naar het bios GRUB-menu. Dan, moeten de wachtwoordterugwinningsprocedures op elke RP kaart één voor één worden gedaan. Dit is een verplichte stap voor dubbele RP-platforms, anders zou het leiden tot configuratie en bestand schoonmaken inconsistentie.

Nieuwe stappen voor wachtwoordherstel

Voorwaarde: de nieuwe functie voor wachtwoordherstel werkt alleen als de CLI deel uitmaakt van de apparaatconfiguratie. Als de CLI niet is geconfigureerd, kan het nieuwe wachtwoordherstelmechanisme niet werken door ontbrekende configuratie-CLI.

Schakel de optie voor wachtwoordherstel in:

RP/0/RP0/CPU0:HOSTNAME(config)#system recovery

Schakel de optie voor wachtwoordherstel uit:

RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery

De wachtwoordherstelprocedure moet alleen via de RP-console worden uitgevoerd.

Stap 1. Breng de RP-kaart naar het bios GRUB-menu. Voor platforms waar beide RP-kaarten in het chassis zijn geïnstalleerd, moeten beide RP-kaarten naar beneden worden gebracht naar het bios GRUB-menu voordat u de wachtwoordherstelprocedure start. Dit is een verplichte stap. Dit kan worden gedaan door een energiecyclus van het apparaat en druk vervolgens op de ESC-toets op beide RP-consoles om het bios GRUB-menu in te voeren, of door elke RP één voor één fysiek opnieuw te plaatsen en vervolgens op de ESC-toets op de RP-console te drukken om het bios GRUB-menu te openen.

RP0 en RP1 kaart:

RP0 en RP1 kaart:

Stap 2. Selecteer op de RP0-kaartconsole de optie IOS XR-recovery uit het menu GRUB en druk op Enter.

RP0-kaart:

Stap 3. Selecteer de optie Cisco IOS XR-recovery uit het menu GRUB en druk op Enter op de RP1-kaartconsole zodra u het bericht Initiating IOS XR System Recovery.. op de RP0-kaartconsole ziet. Wacht niet tot de RP0-kaart de Enter root-systeem gebruikersnaam prompt bereikt, anders kan de RP1 kaart automatisch opnieuw laden en het bios GRUB menu verlaten. De RP0-kaart kan opstarten als actief en de RP1-kaart kan opstarten als een stand-by kaart na het herstelproces.

RP0-kaart:

RP1-kaart:

Stap 4. Voer op de RP0-kaart een nieuwe hoofdgebruiker en wachtwoord in. Probeer om in te loggen op het apparaat met behulp van de nieuwe root gebruikersnaam en wachtwoord.

RP0-kaart:

Stap 5. De wachtwoordherstelprocedure is op dit punt voltooid.

De router wordt nu opgestart met een lege configuratie en met de wortelgebruikersnaam/het wachtwoord dat in stap 4 is gemaakt. Ga verder met normale routerconfiguratie, of laad een configuratie van een reservebestand (elke configuratie back-up die opgeslagen is in disk0 of vaste schijf kan verloren gaan als deel van de wachtwoordherstelprocedure, dus altijd opslaan van de configuratie op een externe server). Zorg ervoor dat u dit bericht ziet in de RP0-consolelogboeken voor zowel RP0 als RP1, als een verificatiestap om wachtwoordherstel te bevestigen en om te verifiëren dat alle oude gebruikersgegevens opschonen met succes is voltooid voor beide RP. Als dit niet het geval is, herhaal dan de vereiste stap en de stappen 1 tot 4 tot u deze berichten ziet op de RP0-consolelogboeken. Als dit bericht niet wordt gezien voor standby RP, moet u de in de eerste plaats vereiste stap en stappen 1 tot 4 voor de standby RP alleen herhalen.

RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful

RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful

Samenvatting

Deze nieuwe wachtwoordherstelprocedure kan worden gebruikt om verloren wachtwoorden op het Cisco 8000 Series platform en het NCS 5500 Series platform in minder dan 10 minuten veilig opnieuw in te stellen.