重置Cisco Catalyst Center的磁懸浮使用者密碼
簡介
本文檔介紹如何解鎖和/或重置磁懸浮使用者的密碼。
背景資訊
在磁懸浮帳戶被鎖定的情況下,您無法登入以解鎖該帳戶。要解鎖和/或重置磁懸浮使用者的密碼,必須將映像裝載到Cisco IMC vKVM。這允許您訪問外殼並重置使用者和/或密碼。
必要條件
內部部署(物理裝置)要求
-
您需要從https://ubuntu.com/download/desktop下載用於Ubuntu 18.04或更高版本的ISO映像。我們建議使用18.04,因為它與Cisco Catalyst Center的版本相同。
- 將ISO下載到本地系統後,您需要將ISO安裝到思科整合管理控制器(CIMC) KVM。
- 將ISO安裝到KVM後,您需要從ISO啟動。
- 一旦您可以存取Ubuntu,請將根目錄和var目錄掛載到系統。
- 掛載根目錄和var目錄後,您可以解鎖和更改Maglev使用者帳戶。
- 最後,重新啟動裝置,確認可以使用磁懸浮登入,並使用配置嚮導重置密碼。
虛擬裝置(ESXi)要求
- 下載ISO
- 將ISO上載到vSphere/vCenter中的資料儲存ISO檔案位置或內容庫
- 將CD/DVD ROM增加到VM(虛擬機器)
- 將啟動延遲更改為更大的值
採用元件
此操作在Ubuntu 18.04映像上運行;不同的映像會產生不同的時間和結果。
在某些環境中,到達Ubuntu案頭最多需要2個小時,但是對於大多數客戶來說,此過程只需要30分鐘就能完成。
此操作不嚴格限於Ubuntu案頭版本。只需要訪問外殼。任何提供Shell存取的Ubuntu影像都適用於此作業。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
附註:您可以在DR環境中使用相同的程式。但是,請注意以下幾點:
***在嘗試任何密碼復原/重設方法之前,請確定災難回覆處於暫停狀態***
在1+1+1 DR部署中,當此過程完成時,相應的站點處於關閉狀態。
在3+3+3中,如果要更新所有三個節點上的密碼,請一次更新一個節點,以確保另外兩個節點可用,以避免不必要的DR故障切換。
第1a步:從即時CD啟動(內部)
登入到Cisco IMC GUI,選擇Launch KVM,然後選擇Virtual Media > Activate Devices。
然後,選擇Map CD/DVD。
之後,選擇Browse,然後選擇已下載到本地系統的Ubuntu ISO映像。選擇Ubuntu映像之後,請選擇Map Drive按鈕。
然後使用Power > Reset System (warm boot)重新啟動裝置。
在系統重啟之後,當Cisco徽標出現時按F6。
它似乎無法正常工作,因為它會進入一個看起來與此類似的螢幕:
但是會出現第二個畫面,我們可以看到它正在進入開機功能表。如果我們忘記在第一個思科螢幕上按F6,可在此處按鍵
當啟動選單彈出時,請選擇顯示Cisco vKVM-Mapped vDVD1.24的選項。這會導致裝置從之前選擇的對映Ubuntu映像啟動。
第1b步:從即時光碟(VA - ESXi)啟動
在vCenter/vSphere中,導航到VM位置,按一下右鍵VM並按一下Edit Settings。在該處按一下ADD NEW DEVICE,然後選擇CD/DVD Drive。
CD/DVD驅動器現在會在設定頁面中顯示為新CD/DVD驅動器。如果您已將ISO上載到Datastore ISO檔案,則為CD/DVD選擇該選項。否則,請選擇內容庫ISO檔案。
選取要從中啟動的ISO檔案。對於此過程,請使用Ubuntu 18.04 ISO。
接下來,請確保啟用新CD/DVD驅動器右側的Connected框。
按一下設定螢幕頂部的VM Options。然後按一下Boot Options的向下箭頭,然後將Boot Delay的值更改為更大的值,例如10000。這將讓您有時間看到在重新啟動VM後進入引導選單的選項。
接下來,重新啟動VM,以便您可以訪問啟動選單以從ISO啟動。
第2a步:載入到Ubuntu ISO
***注意:螢幕截圖顯示了到達Ubuntu案頭所需的時間。***
這是我們看到的第一個螢幕。看起來什麼事都沒有發生,只是等待。在本實驗中,我們在此螢幕中停留了40秒
之後,螢幕完全變黑了大約30秒,然後出現Ubuntu載入螢幕。我們在此螢幕上停留的時間略超過5分鐘,但時間因部署而異。
接下來,我們將會看到一個螢幕,上面可能顯示出了問題,但這是可以預料到的。在本實驗中,此螢幕在繼續操作之前保持了2分鐘
螢幕返回黑色螢幕約3分鐘,上一個螢幕再次閃爍幾分鐘,然後返回黑色螢幕約2分鐘。
接著,我們將會看到選取即時工作階段使用者的選項。如果系統顯示「嘗試Ubuntu案頭」選項,請選擇該選項。歡迎此使用者繼續。
選取使用者之後,熒幕會再次變黑,然後才會顯示Ubuntu案頭。
***提示:在某些環境中,達到此點需要長達2小時的時間***
第2b步:裝載所需分割槽
一旦您訪問了Ubuntu案頭GUI環境,您需要打開終端應用程式並執行以下步驟
- 建立暫存掛載點。
- 將根和var分割槽掛載到系統。
- 將虛擬檔案系統裝載到臨時裝載點。
首先使用命令建立臨時裝載點:
sudo mkdir /altsys
接下來,我們需要找到要裝載的根分割槽和var分割槽。我們可以使用lsblk -fm命令查詢「/」(根)和「/var」的要裝載的分割槽。記下我們為下一步中的裝載命令確定的分割槽
對於/var,請查詢9.5G或168G分割槽。在此例中我們可以看到,這是sdb3
對於/ (根),請查詢28.66G 或47.7G分割槽。在本示例中,它是sda2
一旦您確定了var和根分割槽掛載它們之後:
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions sudo mount /dev/sdb3 /altsys/var # use the disk with up to 5 or 6 partitions
掛載root和var之後,請掛載psuedo檔案系統:
sudo mount --bind /proc /altsys/proc sudo mount --bind /dev /altsys/dev sudo mount --bind /sys /altsys/sys
在更改密碼或解鎖磁懸浮帳戶之前的最後一步是更改為臨時安裝環境:
sudo chroot /altsys
使用案例1:解鎖磁懸浮帳戶
第1步:驗證磁懸浮使用者已解鎖
grep maglev /etc/shadow
maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
檢查密碼雜湊前面是否有驚歎號。如果存在,則表示該帳戶已鎖定。鍵入命令以解鎖使用者:
使用以下命令解鎖磁懸浮使用者:
usermod -U maglev
步驟2:重置失敗計數
如果使用者在/etc/shadow檔案的雜湊前面沒有提升標籤,則表示已超過登入失敗限制。請使用這些步驟重設失敗的登入嘗試。
查詢磁懸浮使用者的失敗登入嘗試:
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 454 11/25/20 20:24:05 x.x.x.x
如圖所示,登入嘗試次數大於預設的6次。 這拒絕了該使用者登入直至故障計數下降到小於六(6)的能力。您可以使用以下命令重置登入失敗計數:
sudo pam_tally2 -r -u maglev
您可以確認計數器已重設:
sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 0
使用案例2:重設磁懸浮使用者密碼
步驟1:重置磁懸浮使用者密碼
# passwd maglev
Enter new UNIX password: #Enter in the desired password
Retype new UNIX password: #Re-enter the same password previously applied
Password has been already used.
passwd: password updated successfully #Indicates that the password was successfully changed
第2步:正常重啟到Cisco DNA Center環境
在KVM窗口中按一下Power,然後按一下Reset System (warm boot)。這會導致系統重新啟動並使用RAID控制器啟動,以啟動Cisco DNA Center軟體。
第3步:從Cisco DNA Center CLI更新磁懸浮使用者密碼
一旦Cisco DNA中心軟體啟動,並且您可以訪問CLI,您就需要使用sudo maglev-config update命令更改磁懸浮密碼。為確保變更在整個系統中生效,必須執行此步驟。
啟動配置嚮導後,您需要完全透過嚮導導航到螢幕,以便我們在步驟6中設定磁懸浮密碼。
為欄位Linux Password和Re-enter Linux Password設定口令後,請選擇next並完成嚮導。嚮導完成配置推送後,密碼已成功更改。您可以建立新的SSH會話,或在CLI中輸入命令sudo -i以測試口令是否已更改。
逐步視訊指南
請使用連結來存取針對此工作流程建立的逐步視訊。
湯瑪士·德萊昂和費薩爾·馬哈茂德提供的圖片
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
5.0 |
10-Oct-2024 |
更新了文檔以包括ESXi的步驟 |
4.0 |
27-Aug-2024 |
已將視訊加入檔案中。 |
3.0 |
15-Nov-2023 |
重新認證 |
2.0 |
19-Sep-2023 |
初始版本 |
1.0 |
16-Aug-2022 |
初始版本 |
意見