Configurar o novo procedimento de recuperação de senha nas plataformas 8000 e NCS5500
Introdução
Este documento descreve um novo processo de recuperação de senha para o Cisco IOS® XR para as plataformas Cisco 8000 e NCS5500.
Informações de Apoio
Se um usuário esquecer a senha raiz, ou se as senhas de todos os usuários forem perdidas nas plataformas XR7 LNT (Cisco 8000, NCS-540L), ou eXR (ASR9K 64-bit, NCS5K, NCS5500, NCS 540, NCS 560), o roteador se tornará inacessível para o usuário, pois o login não é possível sem a combinação correta de nome de usuário/senha. Hoje, a recuperação de senha de tal roteador é possível somente através da recriação do roteador com o uso do método de inicialização USB ou inicialização iPXE a partir de um servidor externo. A recriação da imagem do roteador envolve a instalação do software do roteador novamente e o carregamento da configuração do dispositivo. A instalação de um novo software é um processo demorado.
Começando com a versão 7.3.16 para a plataforma da série Cisco 8000 e 7.3.3 para a plataforma da série NCS5500, a Cisco criou um novo método para recuperação de senha sem a necessidade de recriar a imagem do roteador. Esse método de recuperação de senha não exige que o software seja reinstalado, economizando tempo e permitindo acesso ao roteador após a redefinição de senha. Esse novo método de recuperação de senha é compatível com padrões de segurança, pois as informações antigas do usuário e os dados de tempo de execução do usuário são apagados antes do início do processo de recuperação de senha.
Problema
Atualmente, a recuperação de senha em plataformas XR7 LNT (Cisco 8000, NCS-540L) ou eXR (ASR9K de 64 bits, NCS5K, NCS5500, NCS 540, NCS 560) não é possível. A única alternativa disponível para redefinir a senha é recriar a imagem do roteador com o uso do método de inicialização USB ou inicializar iPXE a partir de um servidor externo. Esse é um processo demorado, pois envolve a instalação do software do roteador novamente e o carregamento da configuração do dispositivo. É necessário um método mais rápido e seguro para a recuperação de senha nas plataformas Cisco XR7 e eXR.
Solução
Começando com a versão 7.3.16 para a plataforma da série Cisco 8000 e 7.3.3 para a plataforma da série NCS5500, a Cisco criou um novo método para recuperação de senha sem a necessidade de recriar a imagem do roteador. No menu Grand Unified Bootloader (GRUB) da tela de inicialização do Route Processor (RP), uma nova opção - Cisco IOS XR-Recovery é adicionada, que é explicitamente criada para o procedimento de recuperação de senha. Na configuração do roteador, um novo comando system recovery é criado com a finalidade de ativar o novo recurso de recuperação de senha. No momento, esse é um recurso opcional e não está habilitado por padrão.
Caveats:
- A opção de menu da tela GRUB de inicialização do bios do RP Cisco IOS XR-recovery pode ser vista independentemente do comando system recovery configurado ou não configurado na configuração do roteador. Se o comando system recovery não estiver presente na configuração do roteador e um novo método de recuperação de senha for tentado selecionando a opção de menu da tela GRUB do bios Cisco IOS XR-recovery, o roteador poderá abortar o processo de recuperação de senha e inicializar com a configuração antiga. Portanto, é obrigatório ter um comando system recovery configurado no roteador para que o método de recuperação de senha funcione.
- O recurso de recuperação de senha é desabilitado por padrão.
- O recurso de recuperação de senha precisa ser habilitado explicitamente através da interface de linha de comando (CLI) de configuração. RP/0/RP0/CPU0:HOSTNAME(config)#recuperação do sistema.
- Se o roteador passar por um procedimento de recuperação de senha, o comando system recovery poderá ser desativado após a inicialização do roteador, pois toda a configuração do roteador seria eliminada como parte do procedimento de recuperação de senha. Os usuários precisam carregar a configuração do dispositivo novamente e configurar o comando system recovery se ele não fizer parte da configuração do dispositivo.
- Além da exclusão da configuração do roteador, todos os arquivos criados pelo usuário, arquivos show tech e arquivos dumper podem ser eliminados do disco0 e do disco rígido como parte do procedimento de limpeza durante a recuperação de senha.
- Este recurso é atualmente suportado no 7.3.16 e posterior no Cisco 8000, 7.3.3 e posterior no NCS5500, e para outras plataformas XR7 LNT e eXR, este recurso pode ser disponibilizado em versões futuras.
- Use o procedimento fornecido para plataformas onde ambas as placas RP estão instaladas no chassi. Desça as duas placas RP para o menu GRUB do bios. Em seguida, os procedimentos de recuperação de senha devem ser feitos em cada placa RP, um por um. Essa é uma etapa obrigatória para plataformas RP duplas; caso contrário, isso resultaria em inconsistência na limpeza da configuração e do arquivo.
Novas Etapas de Recuperação de Senha
Pré-requisito: o recurso de recuperação de nova senha funciona somente se a CLI fizer parte da configuração do dispositivo. Se a CLI não estiver configurada, o novo mecanismo de recuperação de senha não poderá funcionar devido à ausência da CLI de configuração.
Habilitar recurso de recuperação de senha:
RP/0/RP0/CPU0:HOSTNAME(config)#system recovery
Desabilitar recurso de recuperação de senha:
RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery
O procedimento de recuperação de senha deve ser feito apenas através do console RP.
Etapa 1. Traga a placa RP para baixo até o menu GRUB do bios. Para plataformas em que ambas as placas RP são instaladas no chassi, ambas as placas RP devem ser desativadas para o menu GRUB do bios antes que você inicie o procedimento de recuperação de senha. Essa é uma etapa obrigatória. Isso pode ser feito por um ciclo de energia do dispositivo e, em seguida, pressione a tecla ESC em ambos os consoles RP para entrar no menu GRUB do bios, ou recolocando fisicamente cada RP, um por um, e, em seguida, pressione a tecla ESC no console RP para entrar no menu GRUB do bios.
Placa RP0 e RP1:
Placa RP0 e RP1:
Etapa 2. No console da placa RP0, selecione a opção IOS XR-recovery no menu GRUB e pressione Enter.
Placa RP0:
Etapa 3. Selecione a opção Cisco IOS XR-recovery no menu GRUB e pressione Enter no console da placa RP1 assim que você vir a mensagem Initiating IOS XR System Recovery.. no console da placa RP0. Não espere até que a placa RP0 atinja o prompt Enter root-system username, caso contrário, a placa RP1 poderá recarregar automaticamente e sair do menu GRUB do bios. A placa RP0 pode inicializar como ativa e a placa RP1 pode inicializar como placa de standby após o processo de recuperação.
Placa RP0:
Placa RP1:
Etapa 4. Na placa RP0, crie um novo usuário raiz e uma nova senha. Tente fazer login no dispositivo com o uso do novo nome de usuário e senha raiz.
Placa RP0:
Etapa 5. O procedimento de recuperação de senha está concluído neste ponto.
O roteador agora é inicializado com uma configuração em branco e com o nome de usuário/senha raiz criado na etapa 4. Continue com a configuração normal do roteador ou carregue uma configuração de um arquivo de backup (qualquer backup de configuração armazenado no disco0 ou no disco rígido pode ser perdido como parte do procedimento de recuperação de senha, portanto, sempre salve a configuração em um servidor externo). Certifique-se de ver essa mensagem nos registros do console RP0 para RP0 e RP1, como uma etapa de verificação para confirmar a recuperação de senha e para verificar se toda a limpeza de dados do usuário antigo foi concluída com êxito para ambos os RP. Caso contrário, repita a Etapa de Pré-requisito e as Etapas 1 a 4 até ver essas mensagens nos registros de console do RP0. Se essa mensagem não for vista para RP em standby, você precisará repetir a Etapa de pré-requisito e as Etapas 1 a 4 somente para RP em standby.
RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful
RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful
Summary
Esse novo procedimento de recuperação de senha pode ser usado para redefinir com segurança senhas perdidas na plataforma da série Cisco 8000 e da série NCS5500 em menos de 10 minutos.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
16-Oct-2023 |
Título, introdução, exigências da marca, exigências de estilo e formatação atualizados. |
1.0 |
05-Aug-2021 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)