イネーブル パスワードと Telnet パスワードの回復
ASA 仮想 および ISA 3000 モデルでは、イネーブルパスワードまたは Telnet パスワードを忘れた場合に回復できます。CLI を使用してタスクを実行する必要があります。
(注) |
その他のプラットフォームでは、パスワードを忘れた場合に回復することはできません。工場出荷時のデフォルト設定に戻すことは可能で、パスワードをデフォルトにリセットできます。Firepower 4100/9300 の場合は、『FXOS configuration guide』を参照してください。Firepower 1000 および 2100 および Secure Firewall 3100 の場合は、『FXOS troubleshooting guide』を参照してください。 |
ISA 3000 でのパスワードの回復
ISA 3000 のパスワードの回復には、次の手順を実行します。
手順
ステップ 1 |
ASA のコンソール ポートに接続します。 |
ステップ 2 |
ASA の電源を切ってから、再び電源をオンにします。 |
ステップ 3 |
スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、Escape キーを押します。 |
ステップ 4 |
コンフィギュレーション レジスタ値をアップデートするには、次のコマンドを入力します。
ASA で現在のコンフィギュレーション レジスタ値と構成オプションのリストが表示されます。後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。
|
ステップ 5 |
次のコマンドを入力して、ASA をリロードします。
ASA は、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。 |
ステップ 6 |
次のコマンドを入力して、特権 EXEC モードにアクセスします。
|
ステップ 7 |
パスワードの入力を求められたら、Enter キーを押します。 パスワードは空白です。 |
ステップ 8 |
次のコマンドを入力して、スタートアップ コンフィギュレーションをロードします。
|
ステップ 9 |
次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。
|
ステップ 10 |
次のコマンドを入力して、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。
|
ステップ 11 |
次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。
デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、コマンド リファレンスを参照してください。 |
ステップ 12 |
次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。
|
ASA 仮想 のパスワードまたはイメージの回復
ASA 仮想 のパスワードまたはイメージを回復するには、次の手順を実行します。
手順
ステップ 1 |
実行コンフィギュレーションを ASA 仮想 のバックアップ ファイルにコピーします。 copy running-config filename 例:
|
ステップ 2 |
ASA 仮想 を再起動します。 reload |
ステップ 3 |
[GNU GRUB] メニューから、下矢印を押し、コンフィギュレーションをロードしないオプションで <filename> を選択し、Enter キーを押します。ファイル名は、ASA 仮想 のデフォルトのブート イメージのファイル名です。デフォルトのブート イメージは、fallback コマンドによって自動的にブートされることはありません。その後、選択したブート イメージをロードします。
例:
|
ステップ 4 |
実行コンフィギュレーションにバックアップ コンフィギュレーション ファイルをコピーします。 copy filename running-config 例:
|
ステップ 5 |
パスワードのリセット。 enable password password 例:
|
ステップ 6 |
新しい設定を保存します。 write memory 例:
|
ISA 3000 ハードウェアのパスワード回復の無効化
(注) |
ASA 仮想、Cisco Secure Firewall モデルでパスワード回復をディセーブルにすることはできません。 |
権限のないユーザーがパスワード回復メカニズムを使用して ASA を危険にさらすことがないように、パスワード回復をディセーブルにするには、次の手順を実行します。
始める前に
ASA で、no service password-recovery コマンドを使用すると ROMMON モードに入って、コンフィギュレーションの変更を防ぐことができます。ROMMON モードに入ると、ASA では、すべてのフラッシュ ファイル システムの消去を求めるプロンプトが表示されます。最初に消去を実行しないと、ROMMON モードを開始できません。フラッシュ ファイル システムを消去しない場合、ASA はリロードされます。パスワード回復は ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードの回復ができなくなります。ただし、パスワードを回復できなくすることで、不正なユーザーがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態に回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。
service password-recovery コマンドは、コンフィギュレーション ファイルに通知用としてのみ表示されます。CLI プロンプトに対してコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。(パスワード回復の準備段階で)スタートアップ時にスタートアップ コンフィギュレーションを無視するよう ASA が設定されている場合にパスワード回復をディセーブルにすると、通常どおりスタートアップ コンフィギュレーションをロードするように ASA の設定が変更されます。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、no service password- recovery コマンドでスタンバイ装置に複製したときに、コンフィギュレーション レジスタに同じ変更が加えられます。
手順
パスワード回復をディセーブルにします。 no service password-recovery 例:
|