はじめに
このドキュメントでは、Eメールセキュリティアプライアンス(ESA)、セキュリティ管理アプライアンス(SMA)、またはWSAの失われた管理者アカウントパスワードをリセットする方法について説明します。
背景説明
このドキュメントは、ハードウェアベースと仮想ベースの両方の AsyncOS アプライアンスに適用されます。Eメールセキュリティアプライアンス(ESA)、セキュリティ管理アプライアンス(SMA)、およびWebセキュリティアプライアンス(WSA)のパスワードがリセットされます。
管理者パスワードのリセット
アプライアンスの管理者アカウントのパスワードは、Cisco Technical Assistance Center(TAC)が生成できる一時的なパスワードを使用して、シリアルコンソールからのみリセットできます。アプライアンスの管理者(admin)パスワードをリセットするには、次の手順を実行します。
- 一時的な管理者パスワードについてCiscoカスタマーサポートに連絡してください。
注:要求またはケースノートには、アプライアンスの完全なシリアル番号を記載する必要があります。
- 一時的な管理者パスワードを受け取った場合:
- ユーザとしてログインします。
adminpassword.
- シスコカスタマーサポートエンジニアから受信した一時的な管理者パスワードを入力し、Returnキーを押します。
- 管理者ユーザの新しいパスワードを入力します。
AsyncOS myesa.local (ttyv0)
login: adminpassword
Password: <<
>>
Last login: Fri Feb 6 20:45 from 192.168.0.01
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C370 build 092
Welcome to the Cisco C370 Email Security Appliance
Chaning local password for admin
New Password: <<
>>
Retype New Password: <<
>>
AsyncOS myesa.local (ttyv0)
login: admin
Password: <<
管理者ユーザアカウントのロックを解除する手順
管理者アカウントのロックは、アプライアンスへの直接の物理アクセスを介してのみ解除できます。アプライアンスのリセット管理者アカウントを使用してログインしたので、ログインが連続して失敗したために管理者ユーザがロックされていないことを確認します。これを確認するには、CLIでuserconfig
コマンドを入力します。
注:新しいバージョンのコード(12.x以降)では、ユーザを編集するために既存の管理者ロールパスワードの入力を求められます。
> userconfig
Users:
1. admin - "Administrator" (admin) (locked)
2. dlpuser - "DLP User" (dlpeval)
External authentication: Disabled
Choose the operation you want to perform:
- NEW - Create a new account.
- EDIT - Modify an account.
- DELETE - Remove an account.
- POLICY - Change password and account policy settings.
- PASSWORD - Change the password for a user.
- ROLE - Create/modify user roles.
- STATUS - Change the account status.
- EXTERNAL - Configure external authentication.
- DLPTRACKING - Configure DLP tracking privileges.
adminユーザがロックされている場合は、出力に示すように、(locked)と表示されます。
注:管理者アカウントだけが管理者ユーザのステータスを変更できます。 管理者ユーザーは、アプライアンスでのアカウントのロールに関係なく、他のローカルユーザーアカウントでは変更できません。また、前述したように、これはシリアル/コンソール接続を介して実行する必要があります。
他の唯一のオプションは、シスコカスタマーサポートに管理者ユーザのロック解除を要求することです。ここでは、アプライアンスの管理者ロールを持つアカウントがあり、そのアカウントでCLIまたはGUIにログインできることを前提としています。このオプションでは、アプライアンスへのオープンリモートサポートトンネルも必要です。
管理者ユーザまたはロック状態にあるその他のユーザアカウントのロックを解除するには、userconfig
コマンドを入力し、次に示すようにスタートメニューから続行します。
注:新しいバージョンのAsyncOSでは、「status
」コマンドの入力後にパスフレーズの入力が必要になる場合があります。プロンプトが表示されたら、前の手順で設定した新しいパスワードを使用します。
[]> status
Enter the username or number to edit.
[]> 1
This account is locked due to consecutive log-in failures.
Do you want to make this account available? [N]> y
Account admin is now available.
Users:
1. admin - "Administrator" (admin)
2. dlpuser - "DLP User" (dlpeval)
注:管理者ユーザのステータスを変更するだけの場合は、アプライアンス設定を確定する必要はありません。
関連情報