重置Cisco Catalyst Center的Maglev用户密码
简介
本文档介绍如何解锁和/或重置Maglev用户的密码。
背景信息
在磁悬浮账户被锁定的情况下,您无法登录以解锁该账户。要解锁和/或重置Maglev用户的密码,您必须将映像安装到思科IMC vKVM。这允许您访问外壳并重置用户和/或密码。
先决条件
内部部署(物理设备)要求
-
您需要从https://ubuntu.com/download/desktop下载Ubuntu 18.04或更新版本的ISO映像。我们建议使用18.04,因为它与Cisco Catalyst Center的版本相同。
- 将ISO下载到本地系统后,您需要将ISO安装到思科集成管理控制器(CIMC) KVM中。
- 将ISO安装到KVM后,您需要从ISO启动。
- 一旦您可以访问Ubuntu,请将根目录和var目录装载到系统。
- 在安装了根目录和var目录后,您可以解锁并更改Maglev用户帐户。
- 最后,重新启动设备,确认可以使用磁悬浮登录,并使用配置向导重置密码。
虚拟设备(ESXi)的要求
- 下载ISO
- 将ISO上传到vSphere/vCenter中的Datastore ISO文件位置或内容库
- 将CD/DVD ROM添加到VM(虚拟机)
- 将启动延迟更改为更大的值
使用的组件
此操作在Ubuntu 18.04映像上运行;不同的映像会生成不同的时间和结果。
在某些环境中,到达Ubuntu桌面最长需要2小时,但是对于大多数客户来说,此过程在30分钟内完成。
此操作不严格限于Ubuntu桌面版本。只需要访问外壳。任何提供外壳访问的Ubuntu映像都可用于此操作。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
备注:您可以在DR环境中使用相同的过程。但是,请注意以下几点:
***在尝试任何密码恢复/重置方法之前,请确保灾难恢复处于“暂停”状态***
在1+1+1 DR部署中,此过程完成时,对应的站点处于关闭状态。
在3+3+3中,如果要在全部三个节点上更新密码,请一次更新一个节点,以确保另外两个节点可用,以避免不必要的DR故障切换。
第1a步:从实时CD启动(本地)
登录到Cisco IMC GUI,选择Launch KVM,然后选择Virtual Media > Activate Devices。
然后,选择Map CD/DVD。
之后,选择Browse,然后选择已下载到本地系统的Ubuntu ISO映像。选择Ubuntu映像之后,请选择Map Drive按钮。
然后使用Power > Reset System (warm boot)重启设备。
当系统重新启动后,当显示Cisco徽标时,请按F6。
它似乎不起作用,因为它进入了一个类似于这个屏幕的屏幕:
但是会出现第二个屏幕,我们可以看到它正在进入引导菜单。如果我们忘记在第一个思科屏幕上按F6,可在此处按
弹出引导菜单时,请选择显示Cisco vKVM映射的vDVD1.24的选项。这会导致设备从之前选择的映射Ubuntu映像启动。
第1b步:从Live CD (VA - ESXi)启动
在vCenter/vSphere中,导航至VM位置,右键点击VM并点击编辑设置。在该处单击ADD NEW DEVICE,然后选择CD/DVD Drive。
CD/DVD驱动器现在在设置页中显示为新CD/DVD驱动器。如果已将ISO上传到Datastore ISO文件,则选择CD/DVD的相应选项。否则,请选择内容库ISO文件。
选择要从中启动的ISO文件。对于此过程,请使用Ubuntu 18.04 ISO。
接下来,确保启用新CD/DVD驱动器右侧的Connected复选框。
单击设置屏幕顶部的VM Options。然后单击Boot Options的向下箭头,将Boot Delay的值更改为更大的值,例如10000。这将让您有时间在重新启动VM后看到进入引导菜单的选项。
接下来,重新启动VM,以便您可以访问引导菜单以从ISO引导。
第2a步:加载到Ubuntu ISO
***注意:屏幕截图显示了到达Ubuntu桌面所需的时间。***
这是我们看到的第一个屏幕。似乎什么都没有发生,只是等待。在本实验中,我们将在此屏幕上显示40秒
之后,屏幕完全变黑约30秒,然后出现Ubuntu加载屏幕。我们在此屏幕上停留的时间为5分钟多一点,但时间因部署而异。
接下来,我们看到一个屏幕,它可能显示出了问题,但这是意料之中的。在实验中,此屏幕保持运行2分钟,然后继续
屏幕返回黑屏约3分钟,前一屏幕再次闪烁几分钟,然后再次返回黑屏两分钟。
接下来,我们提供了选择Live会话用户的选项。如果系统显示“尝试Ubuntu桌面”选项,请选择该选项。欢迎此用户继续。
选择用户后,屏幕将再次变黑,然后才会显示Ubuntu桌面。
***提醒:在某些环境中,可能需要长达2小时才能达到此目的***
第2b步:装载所需分区
访问Ubuntu桌面GUI环境后,您需要打开终端应用程序并执行以下步骤
- 创建临时装入点。
- 将根分区和var分区装载到系统。
- 将伪文件系统装载到临时装载点。
首先使用命令创建临时装入点:
sudo mkdir /altsys
接下来,我们需要找到要装载的根分区和var分区。我们可以使用lsblk -fm命令查找“/”(根)和“/var”的要装载的分区。记下我们在下一步中为mount命令标识的分区
对于/var,请查找9.5G或168G分区。在本例中我们可以看到,它是sdb3
对于/ (root),请查找28.66G 或47.7G分区。在本例中为sda2
一旦确定了var和根分区装载它们:
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions sudo mount /dev/sdb3 /altsys/var # use the disk with up to 5 or 6 partitions
装载root和var后,装载psuedo文件系统:
sudo mount --bind /proc /altsys/proc sudo mount --bind /dev /altsys/dev sudo mount --bind /sys /altsys/sys
更改密码或解锁磁悬浮账户之前的最后一步是更改为临时安装环境:
sudo chroot /altsys
使用案例1:解锁磁悬浮帐户
第1步:验证磁悬浮用户已解锁
grep maglev /etc/shadow
maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
检查密码哈希前面是否有感叹号。如果存在,则表示帐户已锁定。键入以下命令以解锁用户:
使用以下命令解锁磁悬浮用户:
usermod -U maglev
第2步:重置失败计数
如果用户在/etc/shadow文件中的哈希值前面没有升级标记,则表明已超过登录失败限制。请使用以下步骤重置失败的登录尝试。
查找磁悬浮用户的失败登录尝试:
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 454 11/25/20 20:24:05 x.x.x.x
如图所示,登录尝试次数大于默认的6次。 这拒绝了该用户在故障计数降至低于六(6)时能够登录。您可以使用以下命令重置登录失败计数:
sudo pam_tally2 -r -u maglev
您可以确认计数器已重置:
sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 0
使用案例2:重置磁悬浮用户密码
第1步:重置磁悬浮用户密码
# passwd maglev
Enter new UNIX password: #Enter in the desired password
Retype new UNIX password: #Re-enter the same password previously applied
Password has been already used.
passwd: password updated successfully #Indicates that the password was successfully changed
第2步:正常重启到Cisco DNA Center环境
在KVM窗口中单击Power,然后单击Reset System (warm boot)。这会导致系统重新启动并使用RAID控制器启动,以使Cisco DNA Center软件启动。
第3步:从Cisco DNA Center CLI更新磁悬浮用户密码
一旦Cisco DNA中心软件启动,并且您有权访问CLI,您就需要使用sudo maglev-config update命令更改磁悬浮密码。此步骤是确保更改在整个系统中生效。
启动配置向导后,您需要完全通过向导导航至屏幕,以便我们在步骤6中设置磁悬浮密码。
为字段Linux Password和Re-enter Linux Password设置口令后,选择next并完成向导。当向导完成配置推送后,密码即成功更改。可以创建新的SSH会话,或在CLI中输入命令sudo -i测试口令是否已更改。
分步视频指南
请使用链接访问为此工作流程创建的分步视频。
托马斯·德莱昂和费萨尔·马哈茂德提供的图片
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
5.0 |
10-Oct-2024 |
更新了文档以包括ESXi的步骤 |
4.0 |
27-Aug-2024 |
已将视频添加到文档中。 |
3.0 |
15-Nov-2023 |
重新认证 |
2.0 |
19-Sep-2023 |
首次公开发布 |
1.0 |
16-Aug-2022 |
初始版本 |
反馈