Firepowerシステムでの管理者ユーザのパスワードのリセット

はじめに

このドキュメントでは、Firepowerシステムの管理者アカウントのパスワードをリセットする手順について説明します。

背景説明

Firepower Management Center(FMC)では、コマンドラインインターフェイス(CLI)/シェルアクセスとWebインターフェイスアクセス（使用可能な場合）に対して、異なる管理者アカウント（個別のパスワード付き）が提供されます。Firepowerや適応型セキュリティアプライアンス(ASA)Firepowerサービスアプライアンスなどの管理対象デバイスの管理者アカウントは、CLIアクセス、シェルアクセス、およびWebインターフェイスアクセス（使用可能な場合）で同じです。 

次の手順は、Firepower Management Centerを示しています。

注:Firepower Management Center(FMC)CLIへの参照は、バージョン6.3以降にのみ適用されます。7000および8000シリーズのデバイスは、バージョン6.4でサポートされています。

Firepower Threat Defense：管理者パスワードのリセット

Firepower 9300および4100プラットフォームでFirepower Threat Defense(FTD)の論理デバイスの失われた管理者パスワードをリセットするには、『FXOSシャーシマネージャガイドによるFTDのパスワードの変更または回復』の手順を実行します。

Firepower 1000/2100/3100で稼働するFTDデバイスの場合は、デバイスのイメージを変更する必要があります。これらのプラットフォームでの再イメージ化の手順については、『Firepower Threat Defenseを実行するFirepower 1000/2100シリーズのCisco FXOSトラブルシューティングガイド』を参照してください。

ASA 5500-XおよびIntegrated Security Appliance(ISA)3000モデルで稼働するFTDデバイスの場合は、デバイスのイメージを再適用する必要があります。手順については『 Cisco ASA and Firepower Threat Defense Device Reimage Guide』を参照してください。

仮想FTDデバイスの場合は、デバイスを新しい展開で置き換える必要があります。

物理デバイスを再イメージ化すると、そのデバイスの設定が消去され、管理者パスワードが Admin123にリセットされます。

アマゾンウェブサービス(AWS)でFirepower 7.0+を使用するFTDvを除き、新しいFTDvデプロイメントには設定がなく、管理者パスワードは Admin123です。AWSでFirepower 7.0+を使用するFTDの場合、新しいデプロイには設定がなく、デフォルトのパスワードはありません。デプロイ時に管理者パスワードを入力します。

• Firepower Device Manager で管理されている FTD デバイスのイメージを再作成する場合：
  • 外部に最近保存したバックアップがある場合は、再イメージ化した後でバックアップした構成を復元できます。詳細については、ご使用のバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』を参照してください。
  • バックアップがない場合は、インターフェイス、ルーティングポリシー、およびDHCPとダイナミックドメインネームシステム(DDNS)の設定を含むデバイス設定を手動で再作成する必要があります。
• Firepower Management Center(FMC)で管理されているFTDデバイス、およびバージョン6.3以降のFMCとデバイスを再イメージ化する場合、再イメージ化前のデバイス設定のバックアップと、再イメージ化後のバックアップの復元には、FMCのWebインターフェイスを使用できます。詳細については、ご使用のバージョンの『Firepower Management Center Configuration Guide』を参照してください。
  

  注：バージョン6.0.1 ～ 6.2.3を実行している場合は、FTD設定をバックアップできません。バージョン6.3.0 ～ 6.6.0を実行する場合、FTDコンテナインスタンスのFMC Webインターフェイスからのバックアップと復元はサポートされません。再イメージ化の後にFirepower Management Center(FMC)から共有ポリシーを適用できますが、デバイス固有の設定（インターフェイス、ルーティングポリシー、DHCPおよびDDNS設定など）は手動で行う必要があります。

ASA Firepowerサービスモジュール：管理者パスワードのリセット

ASA FirepowerモジュールCLIの管理パスワードは、ASA一般操作CLIのsessionコマンドでリセットできます。ASA CLIのパスワードを紛失した場合は、ご使用のASAバージョンの『CLIブック1:Cisco ASAシリーズの一般操作CLIコンフィギュレーションガイド』の説明に従って、パスワードを回復できます。

ASA 5555-XからASA 5512-XおよびASA 5506-XからASA 5516-X（ソフトウェアASA Firepowerモジュール）およびISA 3000デバイスでの管理者パスワードのリセット

ASA FirepowerソフトウェアモジュールまたはISA 3000デバイスの管理者ユーザをデフォルトパスワードにリセットするには、ASAプロンプトで次のコマンドを入力します。

session sfr do password-reset

詳細については、使用しているASAバージョンに対応する『Cisco ASAシリーズCLIブック2:Cisco ASAシリーズファイアウォールCLIコンフィギュレーションガイド』を参照してください。

ASA 5585-Xシリーズデバイスでの管理者パスワードのリセット（ハードウェアASA Firepowerモジュール）

ASA FirePOWER ハードウェアモジュールの admin ユーザーのパスワードをデフォルトにリセットするには、ASA プロンプトで次のコマンドを入力します。

session 1 do password-reset

詳細については、使用しているASAバージョンに対応する『Cisco ASAシリーズCLIブック2:Cisco ASAシリーズファイアウォールCLIコンフィギュレーションガイド』を参照してください。

FMCおよびNGIPSvのCLIまたはシェル管理者パスワードの変更

これらの管理者アカウントの既知のパスワードをリセットするには、次の手順を使用します。

• Firepower Management Center(FMC):CLIまたはシェルへのアクセスに使用される管理者パスワード。
• Next Generation Information Preservation System(NGIPSv)virtual(NGIPSv:CLIへのアクセスに使用される管理者パスワード。

 手順：

1. SSHまたはコンソールを使用して、アプライアンスの管理者アカウントにログインします。
   
   • Firepower Management Centerの場合：
     • Firepower Management Center(FMC)がFirepowerバージョン6.2以下を実行している場合、ログインするとLinuxシェルに直接アクセスできます。
     • Firepower Management Center(FMC)がFirepowerバージョン6.3または6.4を実行していて、Firepower Management CenterのCLIが有効になっていない場合、ログインするとLinuxシェルに直接アクセスできます。
     • Firepower Management Center(FMC)がFirepowerバージョン6.3または6.4を実行していて、Firepower Management CLIが有効になっている場合、ログインするとFirepower Management Center CLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
     • Firepower Management Center(FMC)でFirepowerバージョン6.5+が稼働している場合、ログインするとFirepower Management CenterのCLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
   • 管理対象デバイスの場合、ログインするとデバイスのCLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
2. シェルプロンプトで次のコマンドを入力します。 sudo passwd admin.
3. プロンプトが表示されたら、現在の admin パスワードを入力して権限をルートアクセスに昇格させます。
4. プロンプトに応じて、新しい admin パスワードを 2 回入力します。
   

   注：システムにBAD PASSWORDのメッセージが表示される場合、これは情報としての意味しかありません。このメッセージが表示されたとしても、システムはユーザーが指定したパスワードを適用します。とはいえ、セキュリティ上の理由から、より複雑なパスワードを設定することを推奨します。

   exit
5. と入力してシェルを終了します。
6. 管理対象デバイス、またはCLIが有効になっているFirepower Management Center(FMC)で、exit と入力してCLIを終了します。

FMCのWebインターフェイス管理者パスワード、または7000および8000シリーズデバイスのWebインターフェイス管理者およびCLI管理者パスワードの変更

これらの管理者アカウントの既知のパスワードをリセットするには、次の手順を使用します。

• Firepower Management Center(FMC):Webインターフェイスへのアクセスに使用される管理者パスワード。
• 7000および8000シリーズのデバイス：WebインターフェイスおよびCLIへのアクセスに使用される管理者パスワード。

手順：

1. 管理者アクセス権を持つユーザーとしてアプライアンスのWebインターフェイスにログインします。
2. を選択System > Users し、管理者ユーザのEditアイコンをクリックします。
Password
3. フィールドと Confirm Password フィールドに値を入力します。
値は同じであり、ユーザに設定されたパスワードオプションに準拠している必要があります。
4. をクリックします。Save

FMCまたはNGIPSvの失われたCLIまたはシェル管理者パスワードのリセット、または7000および8000シリーズデバイスの失われたWebインターフェイスまたはCLIパスワードのリセット

これらの管理者アカウントの失われたパスワードをリセットするには、次の手順を使用します。

• Firepower Management Center(FMC):CLIまたはシェルへのアクセスに使用される管理者パスワード。
• 7000および8000シリーズのデバイス：WebインターフェイスおよびCLIへのアクセスに使用される管理者パスワード。
• NGIPSv:CLIへのアクセスに使用される管理者パスワード。

注：これらの管理者アカウントの失われたパスワードをリセットするには、アプライアンスとのコンソールまたはSSH接続を確立する必要があります（外部ユーザが設定されているFirepower Management Centerの場合は、SSH接続を使用できます）。さらに、admin ログイン情報を紛失したアプライアンスを再起動する必要もあります。使用可能なデバイスアクセスのタイプに応じて、次のようなさまざまな方法でリブートを開始できます。
・ Firepower Management Centerでは、管理者アクセス権を持つWebインターフェイスユーザのログインクレデンシャル、またはCLI/シェルアクセス権を持つ外部認証ユーザのログインクレデンシャルが必要です。
・ 7000または8000シリーズのデバイスでは、管理者アクセスを持つWebインターフェイスユーザ、設定アクセスを持つCLIユーザ、または管理対象のFirepower Management Centerで管理者アクセスを持つユーザのいずれかのアクセス手段のログインクレデンシャルが必要です。
・ NGIPSvの場合、設定アクセス権を持つCLIユーザ、または管理対象のFirepower Management Centerで管理者アクセス権を持つユーザのログインクレデンシャルが必要です。
・ Firepower Management Center(FMC)、7000および8000シリーズデバイス、NGIPSvデバイスでは、コンソール接続（物理またはリモート）がある場合、ログインクレデンシャルなしでこのタスクを実行できます。
これらの方法でデバイスにアクセスできない場合、これらの手順で管理者パスワードをリセットすることはできません。Cisco TACにお問い合わせください。

オプション 1デバイスを安全にリブートし、ブート時にシングルユーザモードに入ってパスワードをリセットする

1. admin パスワードを紛失したデバイスのアプライアンスコンソールへの接続を開きます。
   ・ 7000シリーズデバイス、8000シリーズデバイス、およびFirepower Management Centerの場合は、キーボード/モニタまたはシリアル接続を使用します。
   ・ 仮想アプライアンスの場合は、仮想プラットフォームが提供するコンソールを使用します。詳細については、『Cisco Firepower Management Center Virtual Getting Started Guide』または『Cisco Firepower NGIPSv Quick Start Guide for VMware』を参照してください。
   ・ Firepower Management Center、7000および8000シリーズ、および仮想アプライアンスの場合は、リモートのKeyboardVideo/Mouse(KVM)を使用してアプライアンスとのコンソール接続を確立すれば、そのインターフェイスにアクセスできます。
2. admin パスワードを紛失したデバイスを再起動します。次の選択肢があります。
   • Firepower Management Center の場合：
   A. 管理者アクセス権を持つユーザーとして Firepower Management Center の Web インターフェイスにログインします。
   B. ご使用のバージョンの『Firepower Management Center Configuration Guide』の説明に従って、Firepower Management Center を再起動します。
   
   ・ 7000または8000シリーズのデバイスまたはNGIPSvで、管理対象のFirepower Management Centerに対する管理者アクセス権を持つWebインターフェイスユーザのクレデンシャルを持っている場合：
   a.管理者アクセス権を持つユーザとして、管理対象のFirepower Management Center(FMC)のWebインターフェイスにログインします。
   B. ご使用のバージョンの『Firepower Management Center Configuration Guide』の説明に従って、管理対象デバイスをシャットダウンして再起動します。 
   
   • 7000 または 8000 シリーズ デバイスで、管理者アクセス権を含む Web インターフェイスユーザーのログイン情報がある場合：
   A. 管理者アクセス権を持つユーザーとしてデバイスの Web インターフェイスにログインします。
   B. ご使用のバージョンの『Firepower Management Center Configuration Guide』の説明に従って、デバイスを再起動します。
   
   • 7000 または 8000 シリーズ デバイスまたは NGIPSv で、設定アクセス権を持つ CLI ユーザーのログイン情報がある場合：
   a. CLI設定アクセス権を持つユーザ名で、シェルを使用してアプライアンスにログインします。
   B. プロンプトで、system reboot コマンドを入力します。
   
   

   ・ Firepower Management Center(FMC)、7000および8000シリーズ、およびコンソール付き仮想アプライアンスの場合は、CTRL-ALT-DELを押します。(リモートKVMを使用する場合、KVMインターフェイスはKVM自体に干渉することなくデバイス CTRL-ALT-DEL に送信する方法を提供します)。

注：Firepower Management Center(FMC)または管理対象デバイスをリブートすると、アプライアンスからログアウトされ、システムによってデータベースチェックが実行されます。このチェックの完了には最大1時間かかる場合があります。

注意：電源ボタンでアプライアンスをシャットダウンしたり、電源ケーブルを抜いたりしないでください。システムデータベースが破損する可能性があります。Webインターフェイスを使用してアプライアンスを完全にシャットダウンします。

3. アプライアンスのコンソール画面で、再起動プロセスを確認し、再起動するアプライアンスの種類に応じて次の手順を実行します。

注：システムでデータベースチェックが行われている場合は、「 The system is not operational yet. Checking and repairing the database is in progress. This may take a long time to finish」というメッセージが表示されます。

• Firepower Management Center モデル 750、1500、2000、3500、または4000 の場合、または Firepower 7000 または 8000 シリーズ デバイスまたは NGIPSv の場合は、再起動プロセスを中断します。
  a.アプライアンスが起動し始めたら、キーボードの任意のキーを押して、LILOブートメニューでカウントダウンをキャンセルします。
  B. LILO ブートメニューに表示されるバージョン番号をメモします。この例では、バージョン番号は7.4.1です

c. boot:プロンプトに対して、「command_version single」と入力します。ここで、versionはバージョン番号です(例：7.4.1 single)。システムでUnited Capabilities Approved Products List(UCAPL)コンプライアンスが有効になっている場合は、パスワードの入力を求められます。パスワードとして Sourcefireを入力します。

・ Firepower Management Center(FMC)モデル1000、1600、2500、2600、4500、4600の場合：
  ブートメニューが表示されたら、Option 4, Cisco Firepower Management Console Password Restore Modeを選択します。
 

4. 新しい管理者パスワードを割り当てます。デバイスに適した手順を使用してください。
     ・ Firepower Management Center(FMC)またはNGIPSvの新しいCLIおよびシェル管理パスワードの場合：

a.ポンド記号(#)で終わるOSプロンプトが表示されたら、次のコマンドを入力します。
     passwd admin

b.プロンプトが表示されたら、新しい管理者パスワードを入力します（2回）。

注：システムにBAD PASSWORDのメッセージが表示される場合、これは情報としての意味しかありません。このメッセージが表示されたとしても、システムはユーザーが指定したパスワードを適用します。ただし、セキュリティ上の理由から、より複雑なパスワードを使用することをお勧めします。

    ・ 7000および8000シリーズデバイスの新しいWebおよびCLI管理パスワードの場合：


シャープ記号(#)で終わるOSプロンプトで、次のコマンドを入力します。


   usertool.pl -p 'admin password'


ここで、passwordは新しいadminパスワードです。

5. ログイン試行の失敗回数が多すぎるために管理者アカウントがロックされている場合は、アカウントのロックを解除する必要があります。使用しているデバイスに適した手順を使用します。

・ Firepower Management Center(FMC)またはNGIPSvでCLIおよびシェルの管理者アカウントのロックを解除するには、シャープ記号(#)で終わるOSプロンプトで次のコマンドを入力します：


   pam_tally --user admin --reset


・ 7000および8000シリーズのデバイスでWebとCLIの両方の管理者アカウントのロックを解除するには、シャープ記号(#)で終わるOSプロンプトで次のコマンドを入力します：


  usertool.pl -u admin


6. シャープ記号(#)で終わるOSプロンプトで、reboot コマンドを入力します。

7. 再起動プロセスが完了するまで待ちます。

オプション 2外部認証を使用してCLIにアクセスし、Firepower Management Centerのパスワードをリセットする


管理者アクセス権を持つアカウントでFMC Webインターフェイスにアクセスできる状況にある場合は、External Authentication機能を使用してCLIにアクセスできます。この方法を使用すると、FMCのCLIにログインし、Linuxシェルにアクセスし、ルートに昇格し、CLI/シェルの管理者パスワードを手動でリセットできます。このオプションの場合、再起動は必要 ありません。このオプションを使用するには、管理者パスワードをリセットするFirepower Management Center(FMC)で外部認証（SSHアクセス付き）が正しく設定されている必要があります。(手順については、使用しているバージョンの『Firepower Management Centerコンフィギュレーションガイド』を参照してください)。 このように設定したら、次の手順を実行します。

1. SSHまたはコンソールを使用してCLI/シェルアクセスを持つ外部認証アカウントでFirepower Management Centerにログインします。
   ・ FMCがバージョン6.2以下を実行している場合、Linuxシェルに直接アクセスできます。
   ・ FMCがバージョン6.3または6.4を実行していて、FMC CLIが有効になっていない場合、Linuxシェルに直接アクセスできます。
   ・ FMCがバージョン6.3または6.4を実行していて、Firepower Management Center CLIが有効になっている場合、これによりFirepower Management Center CLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
・ FMCがバージョン6.5+を実行している場合、これによりFirepower Management Center(FMC)のCLIにアクセスできます。 expert コマンドを入力して、Linuxシェルにアクセスします。
2. ドル記号($)が付いたシェルプロンプトで、次のコマンドを入力して、管理者ユーザのCLIパスワードをリセットします。
   sudo passwd admin
3. Passwordのプロンプトで、現在ログインしているユーザ名のパスワードを入力します。
4. パスワード入力を求めるプロンプトが表示されたら、新しい admin パスワードを入力します（2 回）。
   

   注：システムが「BAD PASSWORD」メッセージを表示する場合は、情報提供だけを目的としています。このメッセージが表示されても、入力したパスワードが適用されます。とはいえ、セキュリティ上の理由から、より複雑なパスワードを設定することを推奨します。

5. ログイン試行の失敗が多すぎることが原因でadminアカウントがロックアウトされた場合は、アカウントのロックを解除し、pam_tally コマンドを実行し、プロンプトが表示されたらパスワードを入力します。
sudo pam_tally --user --reset
6. exit と入力してシェルを終了します。
7. CLIが有効なFirepower Management Center(FMC)で、exit  と入力してCLIを終了します。

Firepower Management Centerの失われたWebインターフェイス管理者パスワードのリセット

Firepower Management Center(FMC)Webインターフェイスへのアクセスに使用する管理者アカウントのパスワードを変更するには、次の手順を使用します。

手順：

1. SSHまたはコンソールでCLI管理者アカウントを使用してアプライアンスにログインします。
2. Linuxシェルにアクセスします。
   ・ FMCがバージョン6.2以下を実行している場合、ログインするとLinuxシェルに直接アクセスできます。
   ・ FMCがバージョン6.3または6.4を実行していて、Firepower Management Center(FMC)CLIが有効になっていない場合、ログインするとLinuxシェルに直接アクセスできます。
   ・ FMCがバージョン6.3または6.4を実行していて、Firepower Management Center(FMC)のCLIが有効になっている場合、ログインするとFirepower Management CenterのCLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
・ FMCがバージョン6.5+を実行している場合、ログインするとFirepower Management Center(FMC)のCLIにアクセスできます。 expert コマンドを入力して、Linuxシェルにアクセスします。
3. Webインターフェイスの管理者ユーザのパスワードをリセットするには、シェルプロンプトで次のコマンドを入力します。
   sudo usertool.pl -p 'admin password'
ここで、passwordは、Webインターフェイスの管理者ユーザの新しいパスワードです。
4. プPassword ロンプトに、現在ログインしているユーザ名のパスワードを入力します。
5. ログイン試行の失敗回数が多すぎたためにWeb管理者アカウントがロックアウトされた場合は、アカウントをロック解除する必要があります。usertool コマンドを実行し、プロンプトが表示されたらCLI管理パスワードを入力します。
sudo usertool.pl -u admin
6. exit と入力してシェルを終了します。
7. CLIが有効になっているFirepower Management Center(FMC)で、exit と入力してCLIを終了します。