8000およびNCS5500プラットフォームでの新しいパスワード回復手順の設定

ダウンロード オプション

  • PDF     (575.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (358.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (256.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 10 月 16 日
Document ID:217291

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco 8000およびNCS5500プラットフォーム用のCisco IOS® XRの新しいパスワード回復プロセスについて説明します。

    背景説明

    ユーザがルートパスワードを忘れた場合、またはXR7 LNTプラットフォーム(Cisco 8000、NCS-540L)またはeXRプラットフォーム(ASR9K 64ビット、NCS5K、NCS5500、NCS 540、NCS 560)ですべてのユーザのパスワードが失われた場合、ユーザは正しいユーザ名/パスワードの組みみみ合わせがなければログインをできないため、ルータにアクセスできません。現在、そのようなルータのパスワード回復は、USBブート方式または外部サーバからのiPXEブートを使用したルータの再イメージ化によってのみ可能です。ルータの再イメージ化には、ルータソフトウェアの再インストールとデバイス設定のロードが含まれます。ソフトウェアの再インストールは時間のかかるプロセスです。

    Cisco 8000シリーズプラットフォーム用の7.3.16リリースから、NCS5500シリーズプラットフォーム用の7.3.3リリースまで、シスコはルータを再イメージ化することなくパスワードを回復する新しい方法を開発しました。このようなパスワード回復方法では、ソフトウェアを再インストールする必要がないため、時間が節約され、パスワードのリセット後にルータにアクセスできます。この新しいパスワード回復方法は、古いユーザ情報とユーザランタイムデータがパスワード回復プロセスの開始前に消去されるため、セキュリティ標準に準拠しています。

    問題

    現在、XR7 LNTプラットフォーム(Cisco 8000、NCS-540L)またはeXRプラットフォーム(ASR9K 64ビット、NCS5K、NCS5500、NCS 540、NCS 560)でのパスワード回復はできません。パスワードをリセットする唯一の代替手段は、USBブート方式または外部サーバからのiPXEブートを使用してルータのイメージを再作成することです。ルータソフトウェアを再インストールし、デバイス設定をロードする必要があるため、これは時間のかかるプロセスです。 Cisco XR7およびeXRプラットフォームでのパスワード回復には、より高速で安全な方法が必要です。

    解決方法

    Cisco 8000シリーズプラットフォーム用の7.3.16リリースから、NCS5500シリーズプラットフォーム用の7.3.3リリースまで、シスコはルータを再イメージ化することなくパスワードを回復する新しい方法を開発しました。ルートプロセッサ(RP)のブートアップ画面のGrand Unified Bootloader(GRUB)メニューに、パスワード回復手順のために明示的に作成されたCisco IOS XR-Recoveryという新しいオプションが追加されています。ルータ設定では、新しいパスワード回復機能を有効にするために、新しいコマンドsystem recoveryが作成されます。これは現在はオプション機能であり、デフォルトでは有効になっていません。

    警告:

    • RP biosブートアップGRUBスクリーンメニューオプションCisco IOS XR-recoveryは、コマンドsystem recoveryがルータの設定で設定されているかどうかにかかわらず表示されます。ルータの設定にsystem recoveryコマンドがなく、BIOS GRUB画面のメニューオプションCisco IOS XR-recoveryを選択して新しいパスワード回復方法を試みた場合、ルータはパスワード回復プロセスを中断し、古い設定でブートできます。そのため、パスワード回復方法を機能させるには、ルータでsystem recoveryコマンドを設定する必要があります。
    • パスワード回復機能は、デフォルトでは無効になっています。 
    • パスワード回復機能は、コンフィギュレーションのコマンドラインインターフェイス(CLI)で明示的に有効にする必要があります。RP/0/RP0/CPU0:HOSTNAME(config)#system recovery
    • ルータでパスワード回復手順が実行される場合、パスワード回復手順の一部としてすべてのルータ設定が消去されるため、ルータのブートアップ後にsystem recoveryコマンドを無効にできます。デバイス設定に含まれていない場合は、ユーザがデバイス設定を再度読み込んで、system recoveryコマンドを設定する必要があります。
    • ルータ設定の削除とは別に、パスワード回復時のクリーンアップ手順の一環として、ユーザ作成ファイル、show techファイル、およびダンプファイルをすべてdisk0とハードディスクの両方からワイプできます。
    • この機能は現在、Cisco 8000では7.3.16以降、NCS5500では7.3.3以降でサポートされています。その他のXR7 LNTおよびeXRプラットフォームでは、この機能は将来のリリースで使用可能になります。
    • 両方のRPカードがシャーシに取り付けられているプラットフォームでは、上記の手順を使用します。両方のRPカードをbios GRUBメニューに移動します。次に、パスワード回復手順をRPカードごとに1つずつ実行する必要があります。これは、デュアルRPプラットフォームでは必須の手順です。これを行わないと、設定とファイルのクリーンアップの不整合が発生します。

    新しいパスワード回復手順

    前提条件:新しいパスワード回復機能は、CLIがデバイス設定の一部である場合にのみ機能します。CLIが設定されていない場合は、config CLIがないため、新しいパスワード回復メカニズムは機能しません。

    パスワード回復機能を有効にする:

    RP/0/RP0/CPU0:HOSTNAME(config)#system recovery

    パスワード回復機能を無効にする:

    RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery

    パスワード回復手順は、RPコンソールからのみ実行する必要があります。

    ステップ 1: RPカードをbios GRUBメニューに移動します。両方のRPカードがシャーシにインストールされているプラットフォームでは、パスワード回復手順を開始する前に、両方のRPカードをbios GRUBメニューに移動する必要があります。これは必須のステップです。これは、デバイスの電源を再投入してから両方のRPコンソールでESCキーを押してBIOS GRUBメニューに入るか、または、各RPを1つずつ物理的に再装着してからRPコンソールでESCキーを押してBIOS GRUBメニューに入ることで実行できます。

    RP0およびRP1カード:

    RP0 and RP1 card

    RP0およびRP1カード:

    RP0 and RP1 card IOS XR latest

    ステップ 2:RP0カードのコンソールで、GRUBメニューからIOS XR-recoveryオプションを選択し、Enterキーを押します。

    RP0カード:

    On RP0 Card Console, Select the IOS XR-Recovery

    ステップ 3: GRUBメニューからCisco IOS XR-recoveryオプションを選択し、RP0カードコンソールに「Initiating IOS XR System Recovery...」というメッセージが表示されたら、すぐにRP1カードコンソールでEnterキーを押します。RP0カードがEnter root-system usernameプロンプトに達するまで待たないでください。このプロンプトが出ないと、RP1カードが自動リロードを行い、BIOS GRUBメニューを終了します。回復プロセスの後、RP0カードはアクティブとして起動でき、RP1カードはスタンバイカードとして起動できます。

    RP0カード:

    Select the IOS XR-Recovery from GRUB RP0 Card

    RP1カード:

    Select the IOS XR-Recovery from GRUB RP1 Card

    ステップ 4: RP0カードで、新しいルートユーザとパスワードを作成します。新しいルートユーザ名とパスワードを使用してデバイスへのログインを試みます。

    RP0カード:

    On RP0 card, Create a New Root User and Password

    ステップ 5: パスワードの回復手順は、この時点で完了しています。

    これで、ルータはブランクの設定でブートされ、ステップ4で作成したルートユーザ名/パスワードが使用されます。通常のルータ設定を続行するか、バックアップファイルから設定をロードします(パスワード回復手順の一環として、disk0またはハードディスクに保存されている設定バックアップは失われる可能性があります。そのため、設定は常に外部サーバに保存してください)。RP0とRP1の両方のコンソールログにこのメッセージが記録されていることを確認します。このメッセージは、パスワード回復を確認し、古いユーザデータのクリーンアップが両方のRPで正常に完了したことを確認するための確認ステップです。そうでない場合は、RP0コンソールログにこれらのメッセージが表示されるまで、前提条件の手順と手順1 ~ 4を繰り返します。このメッセージがスタンバイRPに対して表示されない場合は、スタンバイRPに対してのみ、前提条件の手順と手順1 ~ 4を繰り返す必要があります。

    RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful

    RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful

    要約

    この新しいパスワード回復手順を使用すると、Cisco 8000シリーズプラットフォームとNCS5500シリーズプラットフォームで紛失したパスワードを10分以内に安全にリセットできます。

    更新履歴

    改定 発行日 コメント
    3.0
    16-Oct-2023
    タイトル、概要、ブランディング要件、スタイル要件、およびフォーマットを更新。
    1.0
    05-Aug-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • アニルクマール・ダントゥ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています