はじめに
このドキュメントでは、FXOS CLIを使用してSFTDまたはASAインスタンスのパスワードを回復する方法について説明します。
前提条件
要件
FP41XXまたはFP93XXセキュアファイアウォールシリーズ上のSFTDまたはASAインスタンス。
次の項目に関する専門知識があることが推奨されます。
- Cisco Firepower eXtensibleオペレーティングシステム(FXOS)コマンドラインインターフェイス(CLI)
使用するコンポーネント
- Cisco Secureファイアウォール4110
- Cisco Secure Firewall ASAソフトウェア
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
デバイスのパスワードが失われて回復する必要が生じ、FXOS Firepower Chassis Managerを使用できないというシナリオもあります。FP41XXまたはFP93XX Secure Firewallシリーズ上のSFTDまたはASAインスタンスの場合、パスワード回復はFXOS CLIを介して実行できます。
注意:このプロセスではインスタンスのリブートが必要なため、トラフィックが停止する可能性があります。
設定
手順
ステップ1:管理者権限のクレデンシャルでFXOS CLIにログインします。
ステップ 2:アプリ名、識別子、スロットID情報を取得します。
スコーレッサ
アプリインスタンスの表示
以下に例を挙げます。
FPR4110-K9-1# scope ssa
FPR4110-K9-1 /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
-------- ---------- ------- ----------- ----------- --------------- --------------- ----------- ---------- ------------ -------------- ------------
asa ASA 1 Enabled Online 9.16.3(14) 9.16.3(14) Native No Not Applicable None
ステップ 3:新しい管理者とイネーブルパスワードを指定し、変更を保存します。
スコープ論理デバイス識別子
スコープmgmt-bootstrap app_name
scope bootstrap-key-secretパスワード
設定値
値を入力してください:パスワード
値passwordを確認します。
コミットバッファ
exit
exit
以下に例を挙げます。
FPR4110-K9-1 /ssa # scope logical-device ASA
FPR4110-K9-1 /ssa/logical-device # scope mgmt-bootstrap asa
FPR4110-K9-1 /ssa/logical-device/mgmt-bootstrap # scope bootstrap-key-secret PASSWORD
FPR4110-K9-1 /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret # set value
Enter value:
Confirm the value:
Warning: Bootstrap changes are not automatically applied to app-instances. To apply the changes, please do clear-mgmt-bootstrap, and restart each app-instance.
FPR4110-K9-1 /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* #commit-buffer
FPR4110-K9-1 /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret # exit
FPR4110-K9-1 /ssa/logical-device/mgmt-bootstrap # exit
ステップ 4:管理ブートストラップをクリアし、変更を保存します。
scope slot slot_id(スコープスロットのスロットID)
スコープapp-instance app_name識別子
clear-mgmt-bootstrap
コミットバッファ
以下に例を挙げます。
FPR4110-K9-1 /ssa # scope slot 1
FPR4110-K9-1 /ssa/slot # scope app-instance asa ASA
FPR4110-K9-1 /ssa/slot/app-instance # clear-mgmt-bootstrap
Warning: Clears the application management bootstrap. Application needs to be restarted for this action to be effective.
FPR4110-K9-1 /ssa/slot/app-instance* # commit-buffer
ステップ 5:インスタンスを再起動します。
restart
コミットバッファ
以下に例を挙げます。
FPR4110-K9-1 /ssa/slot/app-instance # restart
FPR4110-K9-1 /ssa/slot/app-instance* # commit-buffer
0.
注:変更が保存されると、インスタンスは再起動します。
手順 6:新しいクレデンシャルを使用して、SSH経由でSFTD/ASAインスタンスにログインします。