重置Firepower系统上管理员用户的密码

简介

本文档介绍在Firepower系统上重置admin帐户密码的说明步骤。

背景信息

Firepower管理中心(FMC)为命令行界面(CLI)/外壳访问和Web界面访问（如果可用）提供不同的管理员帐户（使用单独的密码）。受管设备(例如Firepower和自适应安全设备(ASA) Firepower服务设备)上的管理员帐户对于CLI访问、外壳访问和网络界面访问（如果可用）是相同的。 

这些说明引用了Firepower管理中心。

注意：对Firepower管理中心CLI的引用仅适用于版本6.3+。版本6.4支持7000和8000系列设备。

Firepower威胁防御：重置管理员密码

要在Firepower 9300和4100平台上重置Firepower威胁防御(FTD)逻辑设备的丢失管理员密码，请执行通过FXOS机箱管理器更改或恢复FTD密码指南中的说明。

对于在Firepower 1000/2100/3100上运行的FTD设备，您必须重新映像设备。有关在这些平台上的重新映像过程，请参阅运行Firepower威胁防御的Firepower 1000/2100系列的Cisco FXOS故障排除指南。

对于在ASA 5500-X和集成安全设备(ISA) 3000型号上运行的FTD设备，必须重新映像设备。有关说明，请参阅《Cisco ASA和Firepower威胁防御设备重新映像指南》。

对于虚拟FTD设备，必须使用新部署替换设备。

物理设备的重新映像会清除其配置并将管理员密码重置为 Admin123。

除了在Amazon Web Services (AWS)上使用Firepower 7.0+的FTDv外，新的FTDv部署没有配置，管理员密码为 Admin123。对于在AWS上使用Firepower 7.0+的FTDv，新部署没有配置，也没有默认密码；您在部署时提供管理员密码。

• 如果重新映像使用 Firepower 设备管理器管理的 FTD 设备，有以下选项可供选择：
  • 如果您有最新的外部存储备份，则可以在重新映像后恢复备份的配置。有关详细信息，请参阅相应版本的适用于Firepower设备管理器的Cisco Firepower威胁防御配置指南。
  • 如果没有备份，则必须手动重新创建设备配置，包括接口、路由策略以及DHCP和动态域名系统(DDNS)设置。
• 如果重新映像通过Firepower管理中心管理的FTD设备，以及FMC和运行版本6.3+的设备，则可以在重新映像之前使用FMC Web界面备份设备配置，并在重新映像之后恢复备份。有关详细信息，请参阅版本的《Firepower管理中心配置指南》。
  

  注意：如果运行版本6.0.1-6.2.3，则无法备份FTD配置。如果运行版本6.3.0 ― 6.6.0，则FTD容器实例不支持从FMC Web界面进行备份和恢复。虽然可以在重新映像后从Firepower管理中心应用共享策略，但必须手动配置任何特定于设备的设置，例如接口、路由策略以及DHCP和DDNS设置。

ASA Firepower服务模块：重置管理员密码

您可以使用ASA常规操作CLI的session命令重置ASA Firepower模块CLI的管理员密码。如果ASA CLI的密码丢失，则可以按照ASA版本的CLI手册1：思科ASA系列常规操作CLI配置指南中的说明进行恢复。

重置通过ASA 5555-X的ASA 5512-X以及通过ASA 5516-X（软件ASA Firepower模块）和ISA 3000设备的ASA 5506-X上的管理员密码

要将ASA Firepower软件模块或ISA 3000设备的管理员用户重置为默认密码，请在ASA提示符下输入以下命令：

session sfr do password-reset

有关详细信息，请参阅您的ASA版本的思科ASA系列CLI手册2：思科ASA系列防火墙CLI配置指南。

重置ASA 5585-X系列设备（硬件ASA Firepower模块）上的管理员密码

要将 ASA FirePOWER 硬件模块的 admin 用户重置为默认密码，请在 ASA 提示符下输入以下命令：

session 1 do password-reset

有关详细信息，请参阅您的ASA版本的思科ASA系列CLI手册2：思科ASA系列防火墙CLI配置指南。

更改FMC和NGIPSv的CLI或外壳管理密码

使用以下说明重置这些管理员帐户的已知密码：

• Firepower管理中心：用于访问CLI或外壳的管理密码。
• 下一代信息保留系统虚拟(NGIPSv：用于访问CLI的管理员密码。

 步骤:

1. 通过SSH或控制台登录设备管理员帐户。
   
   • 对于Firepower管理中心：
     • 如果您的Firepower管理中心运行Firepower 6.2版或更低版本，则登录会让您直接访问Linux外壳。
     • 如果您的Firepower管理中心运行Firepower版本6.3或6.4，且Firepower管理中心CLI未启用，则通过登录可以直接访问Linux外壳。
     • 如果您的Firepower管理中心运行Firepower版本6.3或6.4，并且已启用Firepower管理CLI，则通过登录可以访问Firepower管理中心CLI。输入expert命令访问Linux shell。
     • 如果您的Firepower管理中心运行Firepower版本6.5+，则登录后即可访问Firepower管理中心CLI。输入expert命令访问Linux shell。
   • 对于受管设备，通过登录可以访问设备CLI。输入expert命令访问Linux shell。
2. 在shell提示符下输入以下命令： sudo passwd admin.
3. 出现提示时，输入当前 admin 密码以将权限提升为根访问权限。
4. 为响应提示，输入两次新的管理密码。
   

   注意：如果系统显示BAD PASSWORD消息，则此信息仅供参考。即使出现此消息，系统也会应用您提供的密码。但出于安全考虑，思科建议您使用更复杂的密码。

5. 键入exit 退出外壳。
6. 在受管设备或启用CLI的Firepower管理中心上，键入exit 退出CLI。

更改FMC的Web界面管理员密码，或更改7000和8000系列设备的Web界面管理员和CLI管理员密码

使用以下说明重置这些管理员帐户的已知密码：

• Firepower管理中心：用于访问Web界面的管理员密码。
• 7000和8000系列设备：用于访问Web界面和CLI的管理密码。

步骤:

1. 以具有管理员访问权限的用户身份登录设备的Web界面。
2. 选择System > Users 并点击管理员用户的Edit图标。
3. 输入 Password 和 Confirm Password 字段的值。
值必须相同，并且必须与为用户设置的密码选项一致。
4. 单击。Save

为FMC或NGIPSv重置丢失的CLI或外壳管理密码，或为7000和8000系列设备重置丢失的Web界面或CLI密码

使用以下说明重置这些管理员帐户丢失的密码：

• Firepower管理中心：用于访问CLI或外壳的管理密码。
• 7000和8000系列设备：用于访问Web界面和CLI的管理密码。
• NGIPSv：用于访问CLI的管理员密码。

注意：要重置这些管理员帐户的丢失密码，需要与设备建立控制台或SSH连接（如果配置了外部用户的Firepower管理中心，则可以使用SSH连接）。您还需要重新启动已丢失其管理凭证的设备。您可以根据可用的设备访问类型，以不同的方式启动重启：
· 对于Firepower管理中心，您需要具有管理员访问权限的Web界面用户的登录凭据，或具有CLI/外壳访问权限的外部身份验证用户的登录凭据。
· 对于7000或8000系列设备，您需要以下访问方式之一的登录凭证：具有管理员访问权限的Web界面用户、具有配置访问权限的CLI用户，或具有托管Firepower管理中心管理员访问权限的用户。
· 对于NGIPSv，您需要具有配置访问权限的CLI用户或具有托管Firepower管理中心管理员访问权限的用户的登录凭证。
· 对于Firepower管理中心、7000和8000系列设备以及NGIPSv设备，如果您有控制台连接（物理或远程），则无需登录凭证即可执行此任务。
如果无法使用上述方法之一访问设备，则无法使用这些说明重置管理员密码；请联系思科TAC。

第 1 项.安全重启设备并在启动时进入单用户模式以重置密码

1. 为丢失 admin 密码的设备打开与设备控制台的连接：
   · 对于7000系列设备、8000系列设备和Firepower管理中心，请使用键盘/显示器或串行连接。
   · 对于虚拟设备，请使用虚拟平台提供的控制台。有关详细信息，请参阅Cisco Firepower管理中心虚拟入门指南或适用于VMware的Cisco Firepower NGIPSv快速入门指南。
   · 或者，对于Firepower管理中心、7000和8000系列以及虚拟设备，如果您通过使用远程键盘视频/鼠标(KVM)与设备建立了控制台连接，则可以访问该界面。
2. 重启已丢失其 admin 密码的设备。您有以下选择：
   ·对于Firepower管理中心：
   A. 以具有管理员访问权限的用户身份登录 Firepower 管理中心的 Web 界面。
   B. 按照适用于您所用版本的《Firepower 管理中心配置指南》中的说明重启 Firepower 管理中心。
   
   · 对于7000或8000系列设备或NGIPSv，如果您在托管Firepower管理中心上具有管理员访问权限的Web界面用户的凭证：
   a.以具有管理员访问权限的用户身份登录托管Firepower管理中心的Web界面。
   B. 按照适用于您所用版本的《Firepower 管理中心配置指南》中的说明关闭并重启受管设备。 
   
   ·对于7000或8000系列设备，如果您拥有具有管理员访问权限的Web界面用户的凭证：
   A. 以具有管理员访问权限的用户身份登录设备的 Web 界面。
   B. 按照适用于您所用版本的《Firepower 管理中心配置指南》中的说明重启设备。
   
   ·对于7000或8000系列设备或NGIPSv，如果您拥有具有配置访问权限的CLI用户的凭证：
   a.通过具有CLI配置访问权限的用户名通过外壳登录到设备。
   B. 在提示符下，输入 system reboot 命令。
   
   

   · 对于Firepower管理中心、7000和8000系列以及带控制台的虚拟设备，请按CTRL-ALT-DEL。(如果您使用远程KVM，则KVM界面提供向 CTRL-ALT-DEL 设备发送信息的方式，而不会干扰KVM本身。)

注意：重新启动Firepower管理中心或受管设备后，系统会将您从设备注销，并运行可能需要长达一小时才能完成的数据库检查。

警告：请勿使用电源按钮关闭设备或拔下电源线；否则可能会损坏系统数据库。使用Web界面完全关闭设备。

3. 在设备控制台显示中，观察重新启动过程，并根据所重新启动的设备类型继续操作：

注：如果系统正在检查数据库，您会看到消息： The system is not operational yet. Checking and repairing the database is in progress. This may take a long time to finish。

·对于型号750、1500、2000、3500或4000的Firepower管理中心，或者对于Firepower 7000或8000系列设备或NGIPSv，中断重新启动过程：
  a.设备开始启动后，按键盘上的任意键取消LILO启动菜单上的倒计时。
  B. 记下 LILO 启动菜单中显示的版本号。在本示例中，版本号为7.4.1

c.在boot：提示符处，键入“command_version single”，其中版本为版本号(例如“7.4.1 single”)。如果系统启用了统一功能获批产品列表(UCAPL)合规性，系统将提示您输入密码；请输入密码 Sourcefire。

· 对于Firepower管理中心型号1000、1600、2500、2600、4500或4600：
  当显示引导菜单时，选择Option 4, Cisco Firepower Management Console Password Restore Mode。
 

4. 分配新的管理员密码；使用适用于您的设备的说明：
     · 对于Firepower管理中心或NGIPSv的新CLI和外壳管理密码：

a.当系统显示以井号(#)结尾的操作系统提示时，请输入以下命令：
     passwd admin

b.当系统提示时，输入新的管理员密码（两次）。

注意：如果系统显示BAD PASSWORD消息，则此信息仅供参考。即使出现此消息，系统也会应用您提供的密码。但是，出于安全原因，建议您使用更复杂的密码。

    · 对于7000和8000系列设备的新Web和CLI管理员密码：


在以井号(#)结尾的OS提示符处，输入以下命令：


   usertool.pl -p 'admin password'


其中密码是新的管理员密码。

5. 如果管理员帐户由于登录尝试失败次数过多而被锁定，则必须解锁该帐户。使用适用于您的设备的说明：

· 要在Firepower管理中心或NGIPSv上解锁CLI和外壳管理帐户，请在以井号(#)结尾的操作系统提示符下输入以下命令：


   pam_tally --user admin --reset


· 要解锁7000和8000系列设备上的Web和CLI管理员帐户，请在操作系统提示符下输入以下命令，以井号(#)结尾：


  usertool.pl -u admin


6. 在以井号(#)结尾的操作系统提示符处，输入reboot 命令。

7. 允许重新启动过程完成。

第 2 项.使用外部身份验证获得对CLI的访问以重置Firepower管理中心的密码


如果您仍使用具有管理员访问权限的帐户访问FMC Web界面，则可以使用External Authentication功能访问CLI。此方法允许您登录到FMC的CLI，访问Linux Shell，提升到根目录，以及手动重置CLI/Shell管理员密码。此选项不需要重启或访问控制台。此选项要求您在Firepower管理中心上正确配置了外部身份验证（使用SSH访问），并要为其重置管理员密码。(有关说明，请参阅相应版本的Firepower管理中心配置指南。) 完成配置后，请执行以下步骤：

1. 使用SSH或控制台具有命令行界面/外壳访问权限的外部身份验证帐户登录到Firepower管理中心：
   · 如果您的FMC运行版本6.2或更低版本，则您可以直接访问Linux Shell。
   · 如果您的FMC运行版本6.3或6.4，并且FMC CLI未启用，则您可以直接访问Linux Shell。
   · 如果您的FMC运行版本6.3或6.4，并且已启用Firepower管理中心CLI，则您可以访问Firepower管理中心CLI。输入expert命令，访问Linux外壳。
· 如果您的FMC运行版本6.5+，则您可以访问Firepower管理中心CLI。输入 expert 命令访问Linux Shell。
2. 在带美元符号($)的shell提示符处，输入以下命令以重置管理员用户的CLI密码：
   sudo passwd admin
3. 在Password提示符下，输入您当前登录时所用用户名的密码。
4. 在提示时输入新的管理员密码（两次）。
   

   注意：如果系统显示BAD PASSWORD消息，则此消息仅供参考。即使出现此消息，系统也会应用您提供的密码。但出于安全考虑，思科建议您使用更复杂的密码。

5. 如果admin帐户由于登录尝试失败太多次而被锁定，您必须解锁帐户，运行pam_tally 命令，并在出现提示时输入密码：
sudo pam_tally --user --reset
6. 键入exit 退出外壳。
7. 在启用了CLI的Firepower管理中心上，键入exit  以退出CLI。

重置Firepower管理中心丢失的Web界面管理员密码

按照以下说明更改用于访问Firepower管理中心Web界面的管理员帐户的密码。

步骤:

1. 使用CLI管理员帐户和SSH或控制台登录设备。
2. 访问Linux外壳：
   · 如果您的FMC运行版本6.2或更低版本，则登录后可直接访问Linux Shell。
   · 如果您的FMC运行版本6.3或6.4，且Firepower管理中心CLI未启用，则通过登录可以直接访问Linux外壳。
   · 如果您的FMC运行版本6.3或6.4，并且已启用Firepower管理中心CLI，则通过登录可以访问Firepower管理中心CLI。输入expert命令，访问Linux外壳。
· 如果您的FMC运行版本6.5+，则登录会让您访问Firepower管理中心CLI。输入 expert 命令访问Linux Shell。
3. 在shell提示符下，输入以下命令以重置Web界面管理员用户的密码：
   sudo usertool.pl -p 'admin password'
其中password是Web界面管理员用户的新口令。
4. 在Password 提示符处，输入您当前登录时所用用户名的密码。
5. 如果Web管理员帐户由于登录尝试失败次数过多而被锁定，则必须解锁该帐户。运行usertool 命令，并在出现提示时输入您的CLI管理员密码：
sudo usertool.pl -u admin
6. 键入exit 退出外壳。
7. 在启用了CLI的Firepower管理中心上，键入exit 退出CLI。