はじめに
このドキュメントでは、Cisco E メール セキュリティ アプライアンス(ESA)、Cisco セキュリティ管理アプライアンス(SMA)、または Cisco Web セキュリティ アプライアンス(WSA)の消失した管理者アカウント パスワードをリセットする方法について説明します。このドキュメントは、ハードウェアベースと仮想ベースの両方の AsyncOS アプライアンスに適用されます。
管理者パスワードのリセット
アプライアンスの管理者アカウントのパスワードは、Cisco Technical Assistance Center(TAC)が生成できる一時的なパスワードを使用して、シリアルコンソールからのみリセットできます。アプライアンスの管理者(admin)パスワードをリセットするには、次の手順を実行します。
- Ciscoカスタマーサポートに連絡して、一時的な管理者パスワードを入手してください。
注:要求またはケースノートには、アプライアンスの完全なシリアル番号を記載する必要があります。
- 一時的な管理者パスワードを受け取った場合:
- ユーザ
adminpasswordとしてログインします。
- シスコカスタマーサポートエンジニアから受信した一時的な管理者パスワードを入力し、Returnキーを押します。
- adminユーザの新しいパスワードを入力します。
AsyncOS myesa.local (ttyv0)
login: adminpassword
Password: <<<WILL REMAIN BLANK AS YOU ENTER IN THE TEMP PASSWORD>>>
Last login: Fri Feb 6 20:45 from 192.168.0.01
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C370 build 092
Welcome to the Cisco C370 Email Security Appliance
Chaning local password for admin
New Password: <<<WILL REMAIN BLANK AS YOU ENTER IN THE NEW PASSWORD>>>
Retype New Password: <<<WILL REMAIN BLANK AS YOU ENTER IN THE NEW PASSWORD>>>
AsyncOS myesa.local (ttyv0)
login: admin
Password: <<<USE NEW PASSWORD AS SET ABOVE>>>
管理者ユーザアカウントのロックを解除する手順
管理者アカウントのロックを解除するには、アプライアンスに物理的に直接アクセスする必要があります。アプライアンスのリセット管理者アカウントでログインしたので、ログインが連続して失敗したために管理者ユーザがロックされていないことを確認します。これを確認するには、CLIで userconfig コマンドを入力します。
注:新しいバージョンのコード12.x以降では、ユーザを編集するために既存の管理者ロールパスワードの入力を求められます。
> userconfig
Users:
1. admin - "Administrator" (admin) (locked)
2. dlpuser - "DLP User" (dlpeval)
External authentication: Disabled
Choose the operation you want to perform:
- NEW - Create a new account.
- EDIT - Modify an account.
- DELETE - Remove an account.
- POLICY - Change password and account policy settings.
- PASSWORD - Change the password for a user.
- ROLE - Create/modify user roles.
- STATUS - Change the account status.
- EXTERNAL - Configure external authentication.
- DLPTRACKING - Configure DLP tracking privileges.
管理者ユーザがロックされている場合、出力に示されているように、(locked)と表示されます。
注:管理者アカウントのみが管理者ユーザのステータスを変更できます。 管理者ユーザは、アプライアンスでのアカウントのロールに関係なく、他のローカルユーザアカウントでは変更できません。また、前述したように、これはシリアル/コンソール接続を介して実行する必要があります。
他の唯一のオプションは、シスコカスタマーサポートに管理者ユーザのロック解除を依頼することです。これは、アプライアンスの管理者ロールを持つアカウントがあり、そのアカウントでCLIまたはGUIにログインできることを前提としています。このオプションでは、アプライアンスへのオープンなリモートサポートトンネルも必要です。
管理者ユーザまたはlockedステータスのその他のユーザアカウントのロックを解除するには、 userconfig コマンドを入力し、次に示すようにstartメニューから続行します。
注:新しいバージョンのAsyncOSでは、 status コマンドの入力後にパスフレーズの入力が必要になる場合があります。プロンプトが表示されたら、前の手順で設定した新しいパスワードを使用します。
[]> status
Enter the username or number to edit.
[]> 1
This account is locked due to consecutive log-in failures.
Do you want to make this account available? [N]> y
Account admin is now available.
Users:
1. admin - "Administrator" (admin)
2. dlpuser - "DLP User" (dlpeval)
注:管理者ユーザのステータスを変更しただけの場合は、アプライアンス設定をコミットする必要はありません。
関連情報