CNDP PCFでのCLOUD-USERパスワードの回復

概要

このドキュメントでは、回復手順について説明します cloud-user クラウドネイティブ導入プラットフォーム(CNDP)のポリシー制御機能(PCF)のパスワード。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Linux
• PCF

注:PCF CLIに対するrootアクセス権を持つcloud-userが必要です。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• PCF
• ユニファイドコンピューティングシステム(UCS)-B

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

ユーザ cloud-user は、PCFセットアップへのCLIアクセスに使用され、Operation and Maintenance(OAM)が機能します。すべての製品に対するシスコのセキュリティポリシーに従い、パスワードの最大有効期間はデフォルトで90日に設定されています。

問題

ユーザが次のようにPCF設定にアクセスするとします。 cloud-user パスワードの有効期限を投稿すると、PCFはアクセスを拒否します。この場合、最初にクラウドユーザユーザのパスワードを回復する必要があり、その後、パスワードの有効期限を「never」に設定する必要があります。

PCFでクラウドユーザパスワードを回復する手順

worker-15ノードが cloud-user パスワードの有効期限が切れています。

ステップ 1：Cluster Managerにログインし、そこからssh経由でworker-15にアクセスします。

パスワードの変更を求められ、新しいパスワードを入力する必要があります。新しいパスワードは古いパスワードと異なる必要があります。worker-15にログインできる必要があります。

後でパスワードを古いパスワードに戻すことができます。

§cloud-user@pcf-cm-1:~$ ssh xx.xx.xx.xx   //worker-15 IP address
§Authorized uses only. All activity may be monitored and reported.
§Password: 
§You are required to change your password immediately (password aged)
§Changing password for cloud-user.
§(current) UNIX password:
§New password: 
§Retype new password: 
§Retype new password: 
§Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-49-generic x86_64)
§
§ * Documentation: https://help.ubuntu.com
§ * Management: https://landscape.canonical.com
§ * Support: https://ubuntu.com/advantage
§
§ * Canonical Livepatch is available for installation.
§ - Reduce system reboots and improve kernel security. Activate at:
§ https://ubuntu.com/livepatch
§
§9 packages can be updated.
§0 of these updates are security updates.
§To see these additional updates run: apt list --upgradable
§
§Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings
§cloud-user@pcf-worker-15:~$

ステップ 2：バックアップを取る common-password と pwquality.conf ファイルが削除されます。

cloud-user@pcf-worker-15:~$ cd /etc/pam.d/
cloud-user@pcf-worker-15:/etc/pam.d$ ls -lrt common-password 
-rw-r--r-- 1 cloud-user cloud-user 1770 Apr 19 08:01 common-password
cloud-user@pcf-worker-15:/etc/pam.d$ cp common-password common-password_bkp

cloud-user@pcf-worker-15:/etc/pam.d$ cd /etc/security/
cloud-user@pcf-worker-15:/etc/security$ ls -lrt pwquality.conf 
-rw-r--r-- 1 cloud-user cloud-user 2172 Apr 19 08:00 pwquality.conf
cloud-user@pcf-worker-15:/etc/security$ cp pwquality.conf pwquality.conf_bkp
cloud-user@pcf-worker-15:~$

ステップ 3：を編集 common-password と pwquality.conf ファイルが削除されます。

§cloud-user@pcf-worker-15:/etc/security$ 
§cloud-user@pcf-worker-15:/etc/security# sudo sed -i 's/14/8/' pwquality.conf
§cloud-user@pcf-worker-15:/etc/security# cat pwquality.conf | grep "minlen"
§# minlen = 8
§minlen = 8            //This line must contain minlen =8
§cloud-user@pcf-worker-15:/etc/security#

§cloud-user@pcf-worker-15:/etc/security# cd /etc/pam.d/
§cloud-user@pcf-worker-15:/etc/pam.d# sudo sed -i '26 s/password/#password/' common-password
§cloud-user@pcf-worker-15:/etc/pam.d# sudo sed -i '28 s/password/#password/' common-password
§cloud-user@pcf-worker-15:/etc/pam.d# cat common-password | grep password
§# /etc/pam.d/common-password - password-related modules common to all services
§# used to change user passwords. The default is pam_unix.
§# The "sha512" option enables salted SHA512 passwords. Without this option,
§password requisite pam_pwquality.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
§#password requisite pam_pwhistory.so remember=5 use_authtok
§password requisite pam_pwquality.so try_first_pass retry=3
§#password required pam_pwhistory.so use_authtok remember=5
§password [success=1 default=ignore] pam_unix.so obscure try_first_pass sha512
§password requisite pam_deny.so
§password required pam_permit.so
§cloud-user@pcf-worker-15:/etc/pam.d#

ステップ 4：WLCのパスワードポリシーを cloud-user されます。現在のパスワードの有効期限を確認します。

cloud-user@pcf-worker-15:~$ sudo chage -l cloud-user
Last password change : May 21, 2021
Password expires : Aug 19, 2021
Password inactive : Sep 18, 2021
Account expires : never
Minimum number of days between password change : 7
Maximum number of days between password change : 90
Number of days of warning before password expires : 7
cloud-user@pcf-worker-15:~$

パスワードの有効期限をに変更してください never このコマンドで設定します。

cloud-user@pcf-worker-15:~$ 
cloud-user@pcf-worker-15:~$ sudo chage -m 0 -M -1 cloud-user

パスワードの有効期限がに変更されたことを確認します。 never.

cloud-user@pcf-worker-15:~$ sudo chage -l cloud-user
Last password change : May 21, 2021
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : -1
Number of days of warning before password expires : 7
cloud-user@pcf-worker-15:~$

5. cloud-user パスワードを古いパスワードに変更します。

§cloud-user@pcf-worker-15:~# sudo passwd cloud-user
§New password: 
§Retype new password: 
§Retype new password: 
§passwd: password updated successfully
§cloud-user@pcf-worker-15:~#

この手順を適用して、定義したCNDP PCFの別のユーザのパスワードを回復できます。