セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンス(Cisco Clean Access)のパスワード回復手順

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Clean Access Manager(CAM)と Cisco Clean Access Server(CAS)のパスワード回復方法について説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

手順説明

Cisco Network Admission Control (NAC)アプライアンスはこれらの組み込み管理上のユーザアカウント パスワードが含まれています:

  • Clean Access Manager インストール マシン ルート ユーザ

  • Clean Access サーバインストール マシン ルート ユーザ

  • Clean Access サーバ Webコンソール 管理者ユーザ

  • Clean Access Manager Webコンソール 管理者ユーザ

最初の 3 つのパスワードは据 えつけ 時間に最初に設定 されます(デフォルトパスワードは cisco123 です)。 これらのパスワードを後で変更するために、SSH によって Clean Access Manager か Clean Access サーバ マシンおよびパスワードを変更したいと思うユーザとしてログインにアクセスして下さい。 ユーザパスワードを変更するために Linux パスワード コマンドを使用して下さい。 Clean Access Manager/Clean Access サーバのためのルートパスワードを回復 するために、シングル ユーザー モードに起動し、ルートパスワードを変更するのに Linux プロシージャを使用できます。

NAC アプライアンス バージョン 3.5.x および それ 以前はブート ローダとして LILO を使用しました。 バージョン 3.6.x および それ 以降使用はブート ローダがそれ故にパスワード回復手順異なっているので掘り返し。 これらは 2 つの異なる手順です。

NAC アプライアンス バージョン 3.5.x および それ 以前

次の手順を実行します。

  1. コンソールによって CAM/CAS マシンに接続して下さい。

  2. GUI モードを表示するためにマシンのパワーサイクルを行って下さい。

  3. テキストモードに切り替えるために Ctrl-x を押して下さい。 これはブートを表示する: というプロンプトでスタックされることがあります。

  4. プロンプトでシングル ユーザー モードにマシンを起動するために単一 Linux を入力して下さい。

  5. パスワードを入力し、『Enter』 を押して下さい。

  6. ルートパスワードを変更し、reboot コマンドを使用してマシンをリブートして下さい。

    注: セキュア パスワードを Cisco NAC アプライアンス システムのユーザアカウントに提供し、システム セキュリティを維持するために時々変更することは重要です。 スイートは一般に強力なパスワードを使用することが選択するが、助言されますパスワードのための規格を課しません。 すなわち、少なくとも 6 文字とのパスワード、混合された文字および数、等。 強力なパスワードはシステムに対して正常なパスワード推測攻撃の確率を下げます。

NAC アプライアンス バージョン 3.6.x および それ 以降

次の手順を実行します。

  1. 電源投入 マシン、NAC アプライアンス、またはサーバ。

  2. メニューを入力するためにブート ローダ 画面がと「押すキーを…」現われるときキーを押して下さい メッセージ地虫メニューを入力するため。

    地虫メニューはリストの 1 つの項目と現われます:

    • Cisco Clean Access (2.6.11-perfigo)

  3. 編集するために e を押して下さい。

    これらの多項選択は現われます:

    root (hd0,0)
    kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 console=ttyS0,9600n8
    Initrd /initrd-2.6.11-perfigo.img
  4. 第 2 エントリ(カーネル開始するに行スクロールして下さい) そして行を編集するために e を押して下さい。

  5. console=ttyS0,9600n8 を削除し、行の端に単一ワードを追加し、次に『Enter』 を押して下さい。

    行はこの例に類似したのようです:

    kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 single
  6. シングル ユーザー モードでマシンを起動するために b を押して下さい。

    ブートアップの後でルート シェル プロンプトが表示されます。

    注: パスワードのためにプロンプト表示されません。

  7. プロンプトでパスワードを入力し、『Enter』 を押し、手順を従って下さい。

  8. パスワードが変更された後、ボックスをリブートするために再度ブートするを入力して下さい。

CAM WEB GUI パスワードの回復

新規 ユーザを作成して下さい

管理者 パスワードを回復 する 標準手続 きがありません。 利用可能 な唯一のプロシージャは CLI ルートパスワードのためです。

  1. CLI に接続し、これらのコマンドを発行して下さい:

    [root@cca-3390-cam ~]#  psql -h 127.0.0.1 controlsmartdb -U postgres
    controlsmartdb=# select * from admin_account;

    今これと同じようなユーザのリストを見るはずです:

    id |    name    |                 password                 | 
    group_name     | enable |      admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+-----------------------​
      0 | admin      | 96208ed2256706e8d8b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | Primary admin account
      1 | localadmin | b0f3e23dcd1046d1dbf4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670d688bs29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
    (3 rows)
  2. 最も高い ID 値を調べ、増分する必要があります(この例で、New 値は 3)あります。

  3. コマンドで新規 ユーザを挿入して下さい:

    insert into admin_account(id, name, password, group_name, enable) 
    values ('3', 'recover', 'cisco123', 'Full-Control Admin', '1');
  4. 回復 ユーザが DB にあるかどうか確認して下さい:

    controlsmartdb=# select * from 
    admin_account;                                    id |    name 
    |                 password                 |     group_name     | enable 
    |      admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+-----------------------​
      0 | admin      | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | Primary admin account
      1 | localadmin | b0f3e23dcd10461db4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
      3 | recover    | cisco123                                 | 
    Full-Control Admin |      1 |
    (4 rows)
  5. この新規 ユーザとの GUI にログインして下さい。

管理者アカウントを削除して下さい

管理者ユーザを削除する SQL コマンドを使用して下さい。

  1. SQL コマンド・ラインを入力して下さい:

    [root@cca-3390-cam ~]#  psql -h 127.0.0.1 controlsmartdb -U postgres
  2. 管理者ユーザ(id=0)を削除して下さい。

    controlsmartdb=# delete from admin_account where id='0';  
    DELETE 1
  3. ID 0 が削除されたことを確認して下さい。

    controlsmartdb=# select * from admin_account; 
     id |    name    |                 password                 |     
    group_name     | enable |    admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+------------------​
      1 | localadmin | b0f3e23dcd10461db4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
      3 | recover    | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 |
    (3 rows
  4. 今 ID '0' の新しい「admin」ユーザを作成できます。

    controlsmartdb=# insert into 
    admin_account(id,name,password,group_name,enable) values('0', 'admin', 
    'cisco123', 'Full-Control Admin', 1);
    INSERT 0 1
    controlsmartdb=# select * from admin_account
    controlsmartdb-# ;
     id |    name    |                 password                 |     
    group_name     | enable |    admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+------------------​
      1 | localadmin | b0f3e23dcd10461db4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
      3 | recover    | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 |
      0 | admin      | cisco123                                 | 
    Full-Control Admin |      1 |
    (4 rows)
  5. 新規 ユーザが DB にあるかどうか確認して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71159