Безопасность : Устройство Cisco NAC (Clean Access)

Процедура восстановления пароля для Cisco NAC Appliance (Cisco Clean Access)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как восстановить пароль на Менеджере Cisco Clean Access (CAM) и Сервер Cisco Clean Access (CAS).

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Пошаговые процедуры

Система контроля доступа к сети Cisco NAC (NAC) Устройство содержит эти встроенные пароли учетной записи административного пользователя:

  • Уберите пользователя маршрута машины установки Access Manager

  • Чистый пользователь маршрута машины установки Сервера доступа

  • Чистый пользователь с правами администратора веба - консоли Сервера доступа

  • Уберите пользователя с правами администратора веба - консоли Access Manager

Первые три пароля первоначально установлены во время установки (пароль по умолчанию является cisco123). Для изменения этих паролей в более позднее время обратитесь к Чистому Access Manager или Чистой машине Сервера доступа SSH и войдите как пользователь, пароль которого вы хотите изменить. Используйте команду passwd Linux для изменения пароля пользователя. Для восстановления, пароль при загрузке для Чистого Access Manager / Чистят Сервер доступа, можно использовать процедуру Linux, чтобы загрузиться к однопользовательскому режиму и изменить пароль при загрузке.

Версия 3.5.x NAC-устройства и ранее используемый LILO как программа загрузки. (версия 3). 6.x и более поздний GRUB использования как программа загрузки и следовательно процедура восстановления пароля является другой. Это две других процедуры.

Версия 3.5.x NAC-устройства и ранее

Выполните следующие действия:

  1. Соединитесь с машиной CAM/CAS через консоль.

  2. Выключите машину для показа режима GUI.

  3. Нажмите Ctrl-x для коммутации к текстовому режиму. Это отображает boot: (приглашение)# .

  4. В типе подсказки Linux, одиночный для загрузки машины в однопользовательский режим.

  5. Введите passwd и нажмите Enter.

  6. Измените пароль при загрузке и перезагрузите машину с помощью команды перезагрузки.

    Примечание: Важно предоставить безопасные пароли для учетных записей пользователя в системе устройства Cisco NAC и изменить их время от времени для поддержания безопасности системы. Комплект обычно не налагает стандарты для паролей, которые вы выбираете, но сообщено, что вы используете стойкие пароли. Т.е. пароли по крайней мере с шестью символами, смешанные буквы и количество, и т.д. Стойкие пароли уменьшают вероятность успешной атаки подбора пароля на систему.

Версия 3.6.x NAC-устройства и позже

Выполните следующие действия:

  1. Включите машину, NAC-устройство или сервер.

  2. Нажмите любую клавишу, когда экран программы загрузки появляется с, "Нажимают любую клавишу для ввода меню …" сообщение для ввода меню GRUB.

    Меню GRUB появляется с одним элементом в списке:

    • Cisco Clean Access (с 2.6.11 perfigo)

  3. Нажмите e для редактирования.

    Этот разнообразный выбор появляется:

    root (hd0,0)
    kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 console=ttyS0,9600n8
    Initrd /initrd-2.6.11-perfigo.img
  4. Перейдите к второй записи (линия, которая запускается с kernel…), и нажмите e для редактирования линии.

  5. Удалите console=ttyS0,9600n8, добавьте слово, одиночное до конца линии, и затем нажмите Enter.

    Линия кажется подобной данному примеру:

    kernel /vmlinuz-2.6.11-perfigo ro root=LABEL=/ console=tty0 single
  6. Нажмите b для загрузки машины в однопользовательском режиме.

    Вам предоставляют корневое приглашение оболочки после загрузки.

    Примечание: Вам не предлагают для пароля.

  7. В passwd типа подсказки нажмите Enter и следуйте инструкциям.

  8. После того, как пароль изменен, введите перезагрузку для перезагрузки коробки.

ВЕБ-восстановление пароля GUI CAM

Создайте нового пользователя

Нет никакой стандартной процедуры для восстановления пароля администратора. Единственная доступная процедура для Пароля при загрузке CLI.

  1. Соединитесь с CLI и выполните эти команды:

    [root@cca-3390-cam ~]#  psql -h 127.0.0.1 controlsmartdb -U postgres
    controlsmartdb=# select * from admin_account;

    Необходимо теперь видеть список пользователей, подобных этому:

    id |    name    |                 password                 | 
    group_name     | enable |      admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+-----------------------​
      0 | admin      | 96208ed2256706e8d8b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | Primary admin account
      1 | localadmin | b0f3e23dcd1046d1dbf4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670d688bs29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
    (3 rows)
  2. Необходимо видеть значение наиболее высокого идентификатора и инкрементно увеличить его (в данном примере, новое значение равняется 3).

  3. Введите нового пользователя с командой:

    insert into admin_account(id, name, password, group_name, enable) 
    values ('3', 'recover', 'cisco123', 'Full-Control Admin', '1');
  4. Проверьте, находится ли восстановить пользователь в DB:

    controlsmartdb=# select * from 
    admin_account;                                    id |    name 
    |                 password                 |     group_name     | enable 
    |      admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+-----------------------​
      0 | admin      | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | Primary admin account
      1 | localadmin | b0f3e23dcd10461db4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
      3 | recover    | cisco123                                 | 
    Full-Control Admin |      1 |
    (4 rows)
  5. Вход в систему к GUI с этим новым пользователем.

Удалите учетную запись администратора

Используйте команду SQL для удаления пользователя с правами администратора.

  1. Введите командную строку SQL:

    [root@cca-3390-cam ~]#  psql -h 127.0.0.1 controlsmartdb -U postgres
  2. Удалите пользователя с правами администратора (id=0).

    controlsmartdb=# delete from admin_account where id='0';  
    DELETE 1
  3. Проверьте, что был удален идентификатор 0.

    controlsmartdb=# select * from admin_account; 
     id |    name    |                 password                 |     
    group_name     | enable |    admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+------------------​
      1 | localadmin | b0f3e23dcd10461db4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
      3 | recover    | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 |
    (3 rows
  4. Можно теперь создать нового пользователя 'admin' на идентификаторе '0'.

    controlsmartdb=# insert into 
    admin_account(id,name,password,group_name,enable) values('0', 'admin', 
    'cisco123', 'Full-Control Admin', 1);
    INSERT 0 1
    controlsmartdb=# select * from admin_account
    controlsmartdb-# ;
     id |    name    |                 password                 |     
    group_name     | enable |    admin_desc
    ----+------------+------------------------------------------+--------------​------+--------+------------------​
      1 | localadmin | b0f3e23dcd10461db4e095186d5cb54e47963690 | 
    GuestLobby         |      1 | only local users
      2 | admin1     | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 | admin test user
      3 | recover    | 96208ed225670688b29c1bf58d10c4a07267b4c1 | 
    Full-Control Admin |      1 |
      0 | admin      | cisco123                                 | 
    Full-Control Admin |      1 |
    (4 rows)
  5. Проверьте, находится ли новый пользователь в DB.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения