在Firepower系統上重置Admin使用者的密碼

簡介

本文檔介紹在Firepower系統上重置admin帳戶密碼的說明步驟。

背景資訊

Firepower管理中心(FMC)為命令列介面(CLI)/外殼訪問和Web介面訪問（如果可用）提供不同的管理員帳戶（使用單獨的密碼）。受管裝置(例如Firepower和自適應安全裝置(ASA) Firepower服務裝置)上的admin帳戶對於CLI訪問、外殼訪問和Web介面訪問（如果可用）是相同的。 

這些說明引用了Firepower管理中心。

注意：對Firepower管理中心CLI的引用僅適用於6.3+版。透過版本6.4支援7000和8000系列裝置。

Firepower威脅防禦：重置管理員密碼

要在Firepower 9300和4100平台上重置Firepower威脅防禦(FTD)邏輯裝置的丟失管理密碼，請執行透過FXOS機箱管理器更改或恢復FTD密碼指南中的說明。

對於在Firepower 1000/2100/3100上執行的FTD裝置，您必須重新映像裝置。有關在這些平台上的重新映像過程，請參閱運行Firepower威脅防禦的Firepower 1000/2100系列的Cisco FXOS故障排除指南。

對於在ASA 5500-X和整合安全裝置(ISA) 3000型號上運行的FTD裝置，必須重新映像裝置。有關說明，請參閱Cisco ASA和Firepower威脅防禦裝置重新映像指南。

對於虛擬FTD裝置，您必須以新部署取代該裝置。

物理裝置的重新映像會清除其配置並將管理密碼重置為 Admin123。

除了在Amazon Web Services (AWS)上使用Firepower 7.0+的FTDv外，新的FTDv部署沒有配置，管理密碼為 Admin123。對於在AWS上使用Firepower 7.0+的FTD，新部署沒有配置，也沒有預設密碼；您在部署時提供管理員密碼。

• 如果使用Firepower裝置管理員重新映像FTD裝置：
  • 如果您有最近外部儲存的備份，則可以在重新映像後恢復備份的配置。有關詳細資訊，請參閱適用於您的Firepower裝置管理器的Cisco Firepower威脅防禦配置指南。
  • 如果沒有備份，則必須手動重新建立裝置配置，包括介面、路由策略以及DHCP和動態域名系統(DDNS)設定。
• 如果重新映像由Firepower管理中心管理的FTD裝置，以及FMC和運行版本6.3+的裝置，則可以在重新映像之前使用FMC Web介面備份裝置配置，並在重新映像之後恢復備份。有關詳細資訊，請參閱您的版本的Firepower管理中心配置指南。
  

  附註：如果您執行版本6.0.1-6.2.3，便無法備份FTD組態。如果運行版本6.3.0 ― 6.6.0，則FTD容器例項不支援從FMC Web介面進行備份和恢復。雖然重新映像後可以從Firepower管理中心應用共用策略，但必須手動配置任何特定於裝置的資訊，例如介面、路由策略以及DHCP和DDNS設定。

ASA Firepower服務模組：重置管理員密碼

您可以使用ASA常規操作CLI的會話命令重置ASA Firepower模組CLI的管理密碼。如果ASA CLI的密碼丟失，則可以按照ASA版本的CLI手冊1：Cisco ASA系列常規操作CLI配置指南中所述進行恢復。

在ASA 5512-X上透過ASA 5555-X重置Admin密碼，在ASA 5506-X上透過ASA 5516-X（軟體ASA Firepower模組）和ISA 3000裝置上重置管理員密碼

要將ASA Firepower軟體模組或ISA 3000裝置的admin使用者重置為預設密碼，請在ASA提示符下輸入以下命令：

session sfr do password-reset

有關詳細資訊，請參閱您的ASA版本的Cisco ASA系列CLI指南2：Cisco ASA系列防火牆CLI配置指南。

重置ASA 5585-X系列裝置（硬體ASA Firepower模組）上的管理員密碼

要將ASA Firepower硬體模組的admin使用者重置為預設密碼，請在ASA提示符下輸入以下命令：

session 1 do password-reset

有關詳細資訊，請參閱您的ASA版本的Cisco ASA系列CLI指南2：Cisco ASA系列防火牆CLI配置指南。

更改FMC和NGIPSv的CLI或外殼管理密碼

使用以下說明來重設這些管理員帳戶的已知密碼：

• Firepower管理中心：用於訪問CLI或外殼的管理密碼。
• 下一代資訊儲存系統虛擬(NGIPSv：用於訪問CLI的管理密碼。

 程式：

1. 透過SSH或控制檯登入裝置管理員帳戶。
   
   • 對於Firepower管理中心：
     • 如果您的Firepower管理中心運行Firepower版本6.2或更低版本，登入將為您提供直接訪問Linux外殼程式的許可權。
     • 如果您的Firepower管理中心運行Firepower版本6.3或6.4，並且未啟用Firepower管理中心CLI，則登入後您可以直接訪問Linux外殼。
     • 如果您的Firepower管理中心運行Firepower版本6.3或6.4，並且啟用了Firepower管理CLI，則透過登入可以訪問Firepower管理中心CLI。輸入expert命令訪問Linux shell。
     • 如果您的Firepower管理中心運行Firepower版本6.5+，則登入可以讓您訪問Firepower管理中心CLI。輸入expert命令訪問Linux shell。
   • 對於受管裝置，登入可讓您訪問裝置CLI。輸入expert命令訪問Linux shell。
2. 在shell提示符下輸入以下命令： sudo passwd admin.
3. 出現提示時，輸入當前管理員密碼以提升對根使用者訪問許可權的許可權。
4. 回應提示時，輸入兩次新的管理員密碼。
   

   注意：如果系統顯示BAD PASSWORD一則訊息，此資訊僅供參考。即使出現此訊息，系統仍會套用您提供的密碼。但是，出於安全原因，Cisco建議您使用更複雜的密碼。

5. 鍵入exit 退出殼。
6. 在受管裝置上，或在已啟用CLI的Firepower管理中心上，鍵入exit 以退出CLI。

更改FMC的Web介面管理密碼，或更改7000和8000系列裝置的Web介面管理和CLI管理密碼

使用以下說明來重設這些管理員帳戶的已知密碼：

• Firepower管理中心：用於訪問Web介面的管理員密碼。
• 7000和8000系列裝置：用於訪問Web介面和CLI的管理密碼。

程式：

1. 以具有管理員訪問許可權的使用者身份登入裝置的Web介面。
2. 選擇System > Users 並按一下admin使用者的Edit圖示。
3. 在 Password 和 Confirm Password 欄位中輸入值。
值必須相同，且必須符合為使用者設定的密碼選項。
4. 按一下Save。

重設FMC或NGIPSv的遺失CLI或Shell管理密碼，或重設7000和8000系列裝置遺失的Web介面或CLI密碼

請使用以下說明來重設這些管理員帳號的遺失密碼：

• Firepower管理中心：用於訪問CLI或外殼的管理密碼。
• 7000和8000系列裝置：用於訪問Web介面和CLI的管理密碼。
• NGIPSv：用於訪問CLI的管理員密碼。

注意：要重置這些管理員帳戶的丟失密碼，需要與裝置建立控制檯或SSH連線（在配置了外部使用者的Firepower管理中心的情況下，可以使用SSH連線）。您還需要重新啟動其管理員憑據已丟失的裝置。您可以根據可用的裝置存取型別以不同方式啟動重新開機：
· 對於Firepower管理中心，您需要具有管理員訪問許可權的Web介面使用者的登入憑證，或者具有透過CLI/Shell訪問許可權的外部身份驗證使用者的登入憑證。
· 對於7000或8000系列裝置，您需要登入憑證來實現以下訪問方式之一：具有管理員訪問許可權的Web介面使用者、具有配置訪問許可權的CLI使用者或在受管Firepower管理中心具有管理員訪問許可權的使用者。
· 對於NGIPSv，您需要登入具有配置訪問許可權的CLI使用者或具有受管Firepower管理中心管理員訪問許可權的使用者。
· 對於Firepower管理中心、7000和8000系列裝置以及NGIPSv裝置，如果您有控制檯連線（物理或遠端），則無需登入憑證即可執行此任務。
如果無法使用這些方法之一訪問裝置，則無法使用這些說明重置管理員密碼；請與Cisco TAC聯絡。

選項 1.安全地重新啟動裝置並在啟動時進入單使用者模式以重置密碼

1. 為丟失管理員密碼的裝置打開與裝置控制檯的連線：
   · 對於7000系列裝置、8000系列裝置和Firepower管理中心，請使用鍵盤/監視器或串列連線。
   · 對於虛擬裝置，請使用虛擬平台提供的控制檯。有關詳細資訊，請參閱Cisco Firepower管理中心虛擬入門指南或適用於VMware的Cisco Firepower NGIPSv快速入門手冊。
   · 或者，對於Firepower管理中心、7000和8000系列以及虛擬裝置，如果您使用遠端鍵盤影片/滑鼠(KVM)與裝置建立了控制檯連線，則可以訪問該介面。
2. 重新啟動丟失管理員密碼的裝置。您有以下選擇：
   · 對於Firepower管理中心：
   a.以具有管理員訪問許可權的使用者身份登入到Firepower管理中心的Web介面。
   b.按照您版本的Firepower管理中心配置指南中的說明重新啟動Firepower管理中心。
   
   · 對於7000或8000系列裝置或NGIPSv，如果您擁有在託管Firepower管理中心具有管理員訪問許可權的Web介面使用者的憑據：
   a.以具有管理員訪問許可權的使用者身份登入受管Firepower管理中心的Web介面。
   b.按照您版本的Firepower管理中心配置指南中的說明關閉並重新啟動受管裝置。
   
   · 對於7000或8000系列裝置，如果您擁有具有管理員訪問許可權的Web介面使用者的憑證：
   a.以具有管理員訪問許可權的使用者身份登入裝置的Web介面。
   b.按照您版本的Firepower管理中心配置指南中的說明重新啟動裝置。
   
   · 對於7000或8000系列裝置或NGIPSv，如果您擁有具有配置訪問許可權的CLI使用者的憑證：
   a.透過具有CLI配置訪問許可權的使用者名稱透過外殼登入裝置。
   b.在提示符下，輸入system reboot命令。
   
   

   · 對於Firepower管理中心、7000和8000系列以及帶控制檯的虛擬裝置，請按CTRL-ALT-DEL。(如果您使用遠端KVM，則KVM介面提供傳送至裝置 CTRL-ALT-DEL 的方法，而不影響KVM本身。)

注意：當您重新啟動Firepower管理中心或受管裝置時，這將使您從裝置中註銷，而系統運行資料庫檢查可能需要長達一小時的時間才能完成。

注意：請勿使用電源按鈕關閉裝置或拔下電源線；否則可能會損壞系統資料庫。使用Web介面完全關閉裝置。

3. 在裝置控制檯顯示時，觀察重新啟動過程，並根據被重新啟動的裝置型別繼續操作：

註：如果系統正在檢查資料庫，您可以看到消息： The system is not operational yet. Checking and repairing the database is in progress. This may take a long time to finish。

· 對於Firepower管理中心型號750、1500、2000、3500或4000，或者對於Firepower 7000或8000系列裝置或NGIPSv，請中斷重新啟動過程：
  a.裝置開始啟動後，按鍵盤上的任意鍵以取消LILO啟動選單的倒計時。
  b.記下LILO啟動功能表中顯示的版本號碼。在本例中，版本號為7.4.1

c.在boot：提示符處，鍵入「command_version single」，其中版本為版本號(例如「7.4.1 single」)。如果系統啟用了統一功能批准產品清單(UCAPL)合規性，系統將提示您輸入密碼；請輸入密碼 Sourcefire。

· 對於Firepower管理中心型號1000、1600、2500、2600、4500或4600：
  當引導選單出現時，請選擇Option 4, Cisco Firepower Management Console Password Restore Mode。
 

4. 分配新的管理員密碼；使用適用於您的裝置的說明：
     · 對於Firepower管理中心或NGIPSv的新CLI和外殼管理密碼：

a.當系統顯示以井號(#)結尾的作業系統提示時，請輸入以下命令：
     passwd admin

b.在提示輸入新的管理員密碼時（兩次）。

注意：如果系統顯示BAD PASSWORD一則訊息，此資訊僅供參考。即使出現此訊息，系統仍會套用您提供的密碼。但是，出於安全原因，建議您使用更複雜的密碼。

    · 對於7000和8000系列裝置的新Web和CLI管理密碼：


在以井號(#)結尾的OS提示符處，輸入以下命令：


   usertool.pl -p 'admin password'


其中密碼是新的管理員密碼。

5. 如果由於登入嘗試失敗次數過多而鎖定了管理員帳戶，則必須解鎖該帳戶。使用適用於您的裝置的說明：

· 要在Firepower管理中心或NGIPSv上解鎖CLI和外殼管理員帳戶，請在作業系統提示符下輸入以下命令，該命令以井號(#)結尾：


   pam_tally --user admin --reset


· 要解鎖7000和8000系列裝置上的Web和CLI管理員帳戶，請在作業系統提示符下輸入以下命令，以井號(#)結尾：


  usertool.pl -u admin


6. 在以磅符號(#)結尾的OS提示符處，輸入reboot 命令。

7. 允許重新開機程式完成。

選項 2.使用外部身份驗證獲取CLI訪問許可權以重置Firepower管理中心的密碼


如果您仍然能夠透過具有管理員訪問許可權的帳戶訪問FMC Web介面，則可使用External Authentication功能訪問CLI。此方法可讓您登入FMC的CLI、存取Linux Shell、提升至根目錄，以及手動重設CLI/Shell管理密碼。此選項不需要重新啟動或控制檯訪問。此選項要求您已在要為其重置管理員密碼的Firepower管理中心上正確配置外部身份驗證（使用SSH訪問）。(有關說明，請參閱您的版本的Firepower管理中心配置指南。) 完成此設定後，請執行以下步驟：

1. 使用SSH或控制檯具有訪問CLI/Shell許可權的外部身份驗證帳戶登入到Firepower管理中心：
   · 如果您的FMC執行的是6.2版或更低版本，您就可以直接存取Linux shell。
   · 如果您的FMC執行的是6.3或6.4版，而FMC CLI並未啟用，這可以讓您直接存取Linux shell。
   · 如果您的FMC運行版本6.3或6.4，並且啟用了Firepower管理中心CLI，則您可以訪問Firepower管理中心CLI。輸入expert命令（用於訪問Linux外殼）。
· 如果您的FMC運行版本6.5+，則您可以訪問Firepower管理中心CLI。輸入 expert 命令訪問Linux shell。
2. 在帶有美元符號($)的shell提示符下，輸入以下命令以重置管理員使用者的CLI密碼：
   sudo passwd admin
3. 在Password提示符下，輸入您當前登入時所用使用者名稱的密碼。
4. 當系統提示輸入新的管理員密碼時，輸入此密碼（兩次）。
   

   注意：如果系統顯示BAD PASSWORD消息，則此消息僅供參考。即使出現此訊息，系統仍會套用您提供的密碼。但是，出於安全原因，Cisco建議您使用更複雜的密碼。

5. 如果admin帳戶由於太多的失敗登入嘗試而被鎖定，您必須解鎖帳戶，運行pam_tally 命令，並在系統提示時輸入密碼：
sudo pam_tally --user --reset
6. 鍵入exit 退出殼。
7. 在已啟用CLI的Firepower管理中心上，鍵入exit  退出CLI。

重置Firepower管理中心丟失的Web介面管理密碼

使用以下說明更改用於訪問Firepower管理中心Web介面的管理員帳戶的密碼。

程式：

1. 使用CLI管理帳戶透過SSH或控制檯登入裝置。
2. 訪問Linux shell：
   · 如果您的FMC執行的是6.2版或更低版本，登入會讓您直接存取Linux殼層。
   · 如果您的FMC運行的是版本6.3或6.4，而Firepower管理中心CLI未啟用，則登入後您可以直接訪問Linux外殼。
   · 如果您的FMC運行版本6.3或6.4，並且啟用了Firepower管理中心CLI，則透過登入可以訪問Firepower管理中心CLI。輸入expert命令（用於訪問Linux外殼）。
· 如果您的FMC運行版本6.5+，登入將允許您訪問Firepower管理中心CLI。輸入 expert 命令訪問Linux shell。
3. 在shell提示符下，輸入以下命令以重置Web介面admin使用者的密碼：
   sudo usertool.pl -p 'admin password'
其中password是Web介面admin使用者的新口令。
4. 在Password 提示下，輸入您目前用來登入之使用者名稱的密碼。
5. 如果Web管理員帳戶因嘗試登入失敗次數過多而被鎖定，則必須解鎖該帳戶。運行usertool 命令，在出現提示時輸入您的CLI管理員密碼：
sudo usertool.pl -u admin
6. 鍵入exit 退出殼。
7. 在已啟用CLI的Firepower管理中心上，鍵入exit 以退出CLI。