Configuration d'une nouvelle procédure de récupération de mot de passe sur les plates-formes 8000 et NCS5500
Introduction
Ce document décrit un nouveau processus de récupération de mot de passe pour Cisco IOS® XR pour les plates-formes Cisco 8000 et NCS5500.
Informations générales
Si un utilisateur oublie le mot de passe racine ou si les mots de passe de tous les utilisateurs sont perdus sur les plates-formes XR7 LNT (Cisco 8000, NCS-540L) ou eXR (ASR9K 64 bits, NCS5K, NCS5500, NCS 540, NCS 560), le routeur devient inaccessible pour l'utilisateur car la connexion n'est pas possible sans une combinaison nom d'utilisateur/mot de passe correcte. Aujourd'hui, la récupération de mot de passe d'un tel routeur est possible uniquement via la ré-image du routeur avec l'utilisation de la méthode d'amorçage USB ou de l'amorçage iPXE à partir d'un serveur externe. La réinstallation du routeur implique une nouvelle installation du logiciel du routeur et le chargement de la configuration du périphérique. L'installation d'un nouveau logiciel prend beaucoup de temps.
À partir de la version 7.3.16 pour la plate-forme de la gamme Cisco 8000 et de la version 7.3.3 pour la plate-forme de la gamme NCS5500, Cisco a mis au point une nouvelle méthode de récupération des mots de passe sans avoir à réinstaller l'image du routeur. Une telle méthode de récupération de mot de passe ne nécessite pas la réinstallation du logiciel, ce qui permet de gagner du temps et d'accéder au routeur après la réinitialisation du mot de passe. Cette nouvelle méthode de récupération de mot de passe est conforme aux normes de sécurité car les anciennes informations utilisateur et les données d'exécution utilisateur sont effacées avant le lancement du processus de récupération de mot de passe.
Problème
Actuellement, la récupération de mot de passe sur les plates-formes LNT XR7 (Cisco 8000, NCS-540L) ou eXR (ASR9K 64 bits, NCS5K, NCS5500, NCS 540, NCS 560) n'est pas possible. La seule alternative disponible pour réinitialiser le mot de passe est de réinitialiser le routeur à l'aide de la méthode d'amorçage USB ou d'un amorçage iPXE à partir d'un serveur externe. Ce processus prend du temps car il implique l'installation du logiciel du routeur à nouveau et le chargement de la configuration du périphérique. Une méthode plus rapide et sécurisée de récupération des mots de passe sur les plates-formes Cisco XR7 et eXR est nécessaire.
Solution
À partir de la version 7.3.16 pour la plate-forme de la gamme Cisco 8000 et de la version 7.3.3 pour la plate-forme de la gamme NCS5500, Cisco a mis au point une nouvelle méthode de récupération des mots de passe sans avoir à réinstaller l'image du routeur. Dans le menu Grand Unified Bootloader (GRUB) de l'écran de démarrage du processeur de routage (RP), une nouvelle option - Cisco IOS XR-Recovery est ajoutée, qui est explicitement créée pour la procédure de récupération de mot de passe. Dans la configuration du routeur, une nouvelle commande system recovery est créée dans le but d'activer la nouvelle fonctionnalité de récupération de mot de passe. Cette fonctionnalité est actuellement facultative et n'est pas activée par défaut.
Mises en garde:
- Option de menu écran GRUB de démarrage du BIOS Cisco IOS XR-recovery peut être vu indépendamment de la commande system recovery configurée ou non configurée dans la configuration du routeur. Si la commande system recovery n'est pas présente dans la configuration du routeur, et qu'une nouvelle méthode de récupération de mot de passe est tentée en sélectionnant l'option de menu de l'écran bios GRUB Cisco IOS XR-recovery, alors le routeur peut abandonner le processus de récupération de mot de passe et démarrer avec l'ancienne configuration. Il est donc obligatoire d'avoir une commande system recovery configurée sur le routeur pour que la méthode de récupération de mot de passe fonctionne.
- La fonction de récupération de mot de passe est désactivée par défaut.
- La fonction de récupération de mot de passe doit être explicitement activée via l'interface de ligne de commande (CLI) de configuration. RP/0/RP0/CPU0:HOSTNAME(config)#récupération système.
- Si le routeur subit une procédure de récupération de mot de passe, alors la commande system recovery peut être désactivée après le démarrage du routeur car toute la configuration du routeur serait effacée dans le cadre de la procédure de récupération de mot de passe. Les utilisateurs doivent recharger la configuration du périphérique et configurer la commande system recovery si elle ne fait pas partie de la configuration du périphérique.
- Outre la suppression de la configuration du routeur, tous les fichiers créés par l'utilisateur, les fichiers show tech et les fichiers dumper peuvent être effacés à la fois du disk0 et du disque dur dans le cadre de la procédure de nettoyage lors de la récupération de mot de passe.
- Cette fonctionnalité est actuellement prise en charge sur les versions 7.3.16 et ultérieures de Cisco 8000, 7.3.3 et ultérieures de NCS5500, et pour les autres plates-formes XR7 LNT et eXR, cette fonctionnalité peut être mise à disposition dans les versions futures.
- Suivez la procédure indiquée pour les plates-formes sur lesquelles les deux cartes RP sont installées dans le châssis. Faites descendre les deux cartes RP dans le menu GRUB du bios. Ensuite, les procédures de récupération de mot de passe doivent être effectuées sur chaque carte RP un par un. Il s'agit d'une étape obligatoire pour les plates-formes RP doubles, sinon, cela conduirait à une incohérence de la configuration et du nettoyage des fichiers.
Nouvelles étapes de récupération de mot de passe
Prérequis : la nouvelle fonction de récupération de mot de passe ne fonctionne que si l'interface de ligne de commande fait partie de la configuration du périphérique. Si l'interface de ligne de commande n'est pas configurée, le nouveau mécanisme de récupération de mot de passe ne peut pas fonctionner en raison d'une interface de ligne de commande manquante.
Activer la fonction de récupération de mot de passe :
RP/0/RP0/CPU0:HOSTNAME(config)#system recovery
Désactiver la fonction de récupération de mot de passe :
RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery
La procédure de récupération de mot de passe doit être effectuée via la console RP uniquement.
Étape 1. Faites descendre la carte RP dans le menu GRUB du bios. Pour les plates-formes où les deux cartes RP sont installées dans le châssis, les deux cartes RP doivent être ramenées au menu GRUB du bios avant de commencer la procédure de récupération de mot de passe. Il s'agit d'une étape obligatoire. Cela peut être fait soit par un cycle d'alimentation du périphérique et appuyez ensuite sur la touche ESC sur les deux consoles RP pour entrer dans le menu GRUB du bios, ou en réinstallant physiquement chaque RP un par un et puis appuyez sur la touche ESC sur la console RP afin d'entrer dans le menu GRUB du bios.
Carte RP0 et RP1 :
Carte RP0 et RP1 :
Étape 2. Sur la console de la carte RP0, sélectionnez l'option de récupération IOS XR dans le menu GRUB et appuyez sur Entrée.
Carte RP0 :
Étape 3. Sélectionnez l'option Cisco IOS XR-recovery du menu GRUB et appuyez sur Enter sur la console de la carte RP1 dès que vous voyez le message Initiating IOS XR System Recovery... sur la console de la carte RP0. N'attendez pas que la carte RP0 atteigne l'invite Enter root-system username, sinon la carte RP1 peut se recharger automatiquement et quitter le menu GRUB du bios. La carte RP0 peut démarrer en tant que carte active et la carte RP1 en tant que carte de secours après le processus de récupération.
Carte RP0 :
Carte RP1 :
Étape 4. Sur la carte RP0, créez un nouvel utilisateur racine et un nouveau mot de passe. Essayez de vous connecter au périphérique à l'aide du nouveau nom d'utilisateur et du nouveau mot de passe racine.
Carte RP0 :
Étape 5. La procédure de récupération du mot de passe est terminée à ce stade.
Le routeur est maintenant amorcé avec une configuration vide et avec le nom d'utilisateur/mot de passe racine créé à l'étape 4. Procédez à la configuration normale du routeur ou chargez une configuration à partir d’un fichier de sauvegarde (toute sauvegarde de configuration stockée sur disk0 ou sur le disque dur peut être perdue dans le cadre de la procédure de récupération de mot de passe ; enregistrez donc toujours la configuration sur un serveur externe). Assurez-vous que vous voyez ce message dans les journaux de console RP0 pour RP0 et RP1, comme une étape de vérification pour confirmer la récupération de mot de passe et afin de vérifier que tous les anciens nettoyages de données utilisateur ont été terminés avec succès pour les deux RP. Si ce n'est pas le cas, répétez les étapes prérequises et les étapes 1 à 4 jusqu'à ce que vous voyiez ces messages dans les journaux de la console RP0. Si ce message n'apparaît pas pour le RP de secours, vous devez répéter l'étape préalable et les étapes 1 à 4 pour le RP de secours uniquement.
RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful
RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful
Résumé
Cette nouvelle procédure de récupération de mot de passe peut être utilisée pour réinitialiser en toute sécurité les mots de passe perdus sur les plates-formes des gammes Cisco 8000 et NCS5500 en moins de 10 minutes.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
3.0 |
16-Oct-2023 |
Mise à jour du titre, de l'introduction, des exigences de marque, du style et du formatage. |
1.0 |
05-Aug-2021 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)