イネーブル パスワードと Telnet パスワードの回復
ASA モデルでは、イネーブルパスワードまたは Telnet パスワードを忘れた場合に回復できます。 手順は、デバイス タイプによって異なります。CLI を使用してタスクを実行する必要があります。
(注) |
その他のプラットフォームでは、パスワードを忘れた場合に回復することはできません。工場出荷時のデフォルト設定に戻すことは可能で、パスワードをデフォルトにリセットできます。Firepower 4100/9300 の場合は、『FXOS configuration guide』を参照してください。Firepower 1000 および 2100 の場合は、『FXOS troubleshooting guide』を参照してください。 |
ASA 5500-X でのパスワードの回復
この手順は、ASA 5525-X、5545-X、5555-X で実行できます。
ASA のパスワードを回復するには、次の手順を実行します。
手順
ステップ 1 |
ASA のコンソール ポートに接続します。 |
ステップ 2 |
ASA の電源を切ってから、再び電源をオンにします。 |
ステップ 3 |
スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、Escape キーを押します。 |
ステップ 4 |
コンフィギュレーション レジスタ値をアップデートするには、次のコマンドを入力します。
|
ステップ 5 |
スタートアップ コンフィギュレーションを無視するように ASA を設定するには、次のコマンドを入力します。
ASA によって現在のコンフィギュレーションのレジスタ値が表示され、それを変更するかどうかが尋ねられます。
|
ステップ 6 |
後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。 |
ステップ 7 |
値を変更する場合は、プロンプトに対して Y を入力します。 ASA によって、新しい値の入力を求めるプロンプトが表示されます。 |
ステップ 8 |
「disable system configuration?」の値を除き、すべての設定についてデフォルト値を受け入れます。 |
ステップ 9 |
プロンプトに対して、Y を入力します。 |
ステップ 10 |
次のコマンドを入力して、ASA をリロードします。
ASA は、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。 |
ステップ 11 |
次のコマンドを入力して、特権 EXEC モードにアクセスします。
|
ステップ 12 |
パスワードの入力を求められたら、Enter キーを押します。 パスワードは空白です。 |
ステップ 13 |
次のコマンドを入力して、スタートアップ コンフィギュレーションをロードします。
|
ステップ 14 |
次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。
|
ステップ 15 |
次のコマンドを入力して、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。
|
ステップ 16 |
次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。
デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、コマンド リファレンスを参照してください。 |
ステップ 17 |
次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。
|
ASA 5506-X、ASA 5508-X、ASA 5516-X でのパスワードの回復
ASA 5506-X、ASA 5508-X、ASA 5516-X のパスワードの回復には、次の手順を実行します。
手順
ステップ 1 |
ASA のコンソール ポートに接続します。 |
ステップ 2 |
ASA の電源を切ってから、再び電源をオンにします。 |
ステップ 3 |
スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、Escape キーを押します。 |
ステップ 4 |
コンフィギュレーション レジスタ値をアップデートするには、次のコマンドを入力します。
ASA で現在のコンフィギュレーション レジスタ値と構成オプションのリストが表示されます。後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。
|
ステップ 5 |
次のコマンドを入力して、ASA をリロードします。
ASA は、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。 |
ステップ 6 |
次のコマンドを入力して、特権 EXEC モードにアクセスします。
|
ステップ 7 |
パスワードの入力を求められたら、Enter キーを押します。 パスワードは空白です。 |
ステップ 8 |
次のコマンドを入力して、スタートアップ コンフィギュレーションをロードします。
|
ステップ 9 |
次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。
|
ステップ 10 |
次のコマンドを入力して、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。
|
ステップ 11 |
次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。
デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、コマンド リファレンスを参照してください。 |
ステップ 12 |
次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。
|
ASAv でのパスワードまたはイメージの回復
ASAv のパスワードまたはイメージを回復するには、次の手順を実行します。
手順
ステップ 1 |
実行コンフィギュレーションを ASAv のバックアップ ファイルにコピーします。 copy running-config filename 例:
|
ステップ 2 |
ASAv を再始動します。 reload |
ステップ 3 |
[GNU GRUB] メニューから、下矢印を押し、コンフィギュレーションをロードしないオプションで <filename> を選択し、Enter キーを押します。ファイル名は、ASAv のデフォルトのブート イメージのファイル名です。デフォルトのブート イメージは、fallback コマンドによって自動的にブートされることはありません。その後、選択したブート イメージをロードします。
例:
|
ステップ 4 |
実行コンフィギュレーションにバックアップ コンフィギュレーション ファイルをコピーします。 copy filename running-config 例:
|
ステップ 5 |
パスワードのリセット。 enable password password 例:
|
ステップ 6 |
新しい設定を保存します。 write memory 例:
|
ASA ハードウェアのパスワード回復の無効化
(注) |
ASAv または Firepower のモデルでパスワード回復をディセーブルにすることはできません。 |
権限のないユーザーがパスワード回復メカニズムを使用して ASA を危険にさらすことがないように、パスワード回復をディセーブルにするには、次の手順を実行します。
始める前に
ASA で、no service password-recovery コマンドを使用すると ROMMON モードに入って、コンフィギュレーションの変更を防ぐことができます。ROMMON モードに入ると、ASA では、すべてのフラッシュ ファイル システムの消去を求めるプロンプトが表示されます。最初に消去を実行しないと、ROMMON モードを開始できません。フラッシュ ファイル システムを消去しない場合、ASA はリロードされます。パスワード回復は ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードの回復ができなくなります。ただし、パスワードを回復できなくすることで、不正なユーザーがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態に回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。
service password-recovery コマンドは、コンフィギュレーション ファイルに通知用としてのみ表示されます。CLI プロンプトに対してコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。(パスワード回復の準備段階で)スタートアップ時にスタートアップ コンフィギュレーションを無視するよう ASA が設定されている場合にパスワード回復をディセーブルにすると、通常どおりスタートアップ コンフィギュレーションをロードするように ASA の設定が変更されます。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、no service password- recovery コマンドでスタンバイ装置に複製したときに、コンフィギュレーション レジスタに同じ変更が加えられます。
手順
パスワード回復をディセーブルにします。 no service password-recovery 例:
|