重置管理员密码并解锁管理员用户帐户

简介

本文档介绍如何为邮件安全设备、安全管理设备或WSA重置丢失的管理员帐户密码。

背景信息

本文档适用于基于硬件和基于虚拟的AsyncOS设备。为邮件安全设备(ESA)、安全管理设备(SMA)和网络安全设备(WSA)重置密码。

重置管理员密码

设备管理员帐户的密码只能通过串行控制台重置，使用思科技术支持中心(TAC)可以生成的临时密码。要重置设备上的管理员(admin)密码，请完成以下步骤：

1. 联系思科客户支持获取临时管理员密码。

   注意：您必须在请求或案例说明中提供设备的完整序列号。

2. 当您收到临时管理员密码时：
   
   
   • 对于基于硬件的设备，通过直接串行连接访问设备：
     
     

     Bits per second: 9600
     Data bits: 8
     Parity: None
     Stop bits: 1
     Flow control: Hardware

   • 对于基于虚拟的设备，请从ESXi控制台或其他虚拟主机控制台访问该设备。
     
     
3. 以用户身份登录 adminpassword.
   
   
   1. 输入您从Cisco Customer Support Engineer收到的临时管理员密码，然后按Return。
      
      
   2. 输入admin用户的新密码。
      
      

      AsyncOS myesa.local (ttyv0)
      
      login: adminpassword
      Password:  <<
              
              
                >> 
              
      Last login: Fri Feb 6 20:45 from 192.168.0.01
      Copyright (c) 2001-2013, Cisco Systems, Inc.
      
      AsyncOS 8.5.6 for Cisco C370 build 092
      Welcome to the Cisco C370 Email Security Appliance
      Chaning local password for admin
      New Password:  <<
              
              
                >> 
              
      Retype New Password:  <<
              
              
                >> 
              
      
      AsyncOS myesa.local (ttyv0)
      
      login: admin
      Password:  <<
              
              
                >> 
              

解除管理员用户帐户锁定的步骤

管理员帐户只能通过直接物理访问设备来解锁。现在您已通过设备上的重置管理员帐户登录，请确认由于连续登录失败，管理员用户未被锁定。要确认这一点，请在CLIuserconfig中输入命令：

注意：新版本的代码12.x及更高版本会提示输入现有的管理员角色密码，以便对用户进行编辑。

> userconfig


Users:
1. admin - "Administrator" (admin) (locked)
2. dlpuser - "DLP User" (dlpeval)

External authentication: Disabled

Choose the operation you want to perform:
- NEW - Create a new account.
- EDIT - Modify an account.
- DELETE - Remove an account.
- POLICY - Change password and account policy settings.
- PASSWORD - Change the password for a user.
- ROLE - Create/modify user roles.
- STATUS - Change the account status.
- EXTERNAL - Configure external authentication.
- DLPTRACKING - Configure DLP tracking privileges.

如果管理员用户被锁定，则会标有（锁定），如输出所示。

注意：只有管理员帐户才能更改管理员用户的状态。无论帐户在设备上的角色如何，管理员用户都不能被任何其他本地用户帐户更改。此外，如前所述，这必须通过串行/控制台连接完成。

唯一的另一个选项是请求思科客户支持解锁管理员用户。假设您在设备上有一个具有管理角色的帐户，并且您可以使用该帐户登录CLI或GUI。此选项还需要一个到设备的开放式远程支持隧道。

要解除管理员用户或处于锁定状态的任何其他用户帐户的锁定，请输入命令并从开始菜单继续，如下所示userconfig:

注意：在较新版本的AsyncOS中，输入命令后可能需要输入密status码。出现提示时，使用您在上一步中设置的新密码。

[]> status

Enter the username or number to edit.
[]> 1

This account is locked due to consecutive log-in failures.

Do you want to make this account available? [N]> y

Account admin is now available.

Users:
1. admin - "Administrator" (admin)
2. dlpuser - "DLP User" (dlpeval)

注意：如果仅更改管理员用户的状态，则不需要提交设备配置。

相关信息

• ESA 常见问题解答：ESA 可用的管理访问级别是什么？
• 思科邮件安全设备最终用户指南
• 思科网络安全设备最终用户指南
• 思科安全管理设备最终用户指南
• 技术支持和文档 - Cisco Systems