إسترداد كلمة مرور المستخدم المحلي ل Firepower 4100/9300 FXOS من خلال الوصول الإداري TACACS

مسألة

كلمة مرور المسؤول المحلي ل FXOS على أجهزة FirePOWER 4100/9300 غير معروفة وتحتاج إلى إعادة ضبطه لاستعادة الوصول الإداري.

تم تعيين دور القراءة فقط لجميع مستخدمي TACACS الموجودين، مما قيدهم من أداء المهام الإدارية على هيكل FXOS.

ملاحظة: يتم تعيين دور القراءة فقط بشكل افتراضي لحسابات المستخدمين المصادق عليها عن بعد (LDAP و RADIUS و TACACS+ و SSO).

البيئة

• Cisco Firepower 4100/9300 الذي يشغل ASA/FTD
• تم تعيين المصادقة الافتراضية ل FXOS على البعيد (Cisco ISE)، والمصادقة المحلية التي تم تكوينها على أنها نسخ إحتياطية.

قرار

إنشاء مستخدم TACACS إداري

على Cisco ISE (أو خادم TACACS الخاص بك)، قم بإنشاء مستخدم TACACS جديد (على سبيل المثال، fxosadmin) وعينت امتيازات إدارية كما هو موضح في وثائق Cisco:

مصادقة/تفويض هيكل FXOS للإدارة عن بعد باستخدام ISE باستخدام TACACS+.

1. إنشاء مجموعات الهوية والمستخدمين
2. قم بإنشاء ملف تعريف Shell لكل دور مستخدم (لدور 'admin'، أستخدم Cisco-av-pair=shell:roles="admin")
3. إنشاء سياسة تخويل TACACS

تسجيل الدخول باستخدام مستخدم مسؤول TACACS الجديد

أستخدم حساب fxosadmin الذي تم إنشاؤه حديثا لتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) و CLI ل FXOS. يتمتع هذا الحساب الآن بامتيازات إدارية كاملة.

إعادة تعيين كلمة مرور المسؤول المحلي

قم بالوصول إلى واجهة سطر الأوامر (CLI) الخاصة ب FXOS ونفذ الأوامر التالية:

     FP4100# scope security
     FP4100 /security # show local-user
     User Name       First Name      Last name
     --------------- --------------- ---------
     admin
     FP4100 /security # enter local-user admin
     FP4100 /security/local-user # set password
     Enter a password:
     Confirm the password:
     FP4100 /security/local-user* # commit-buffer
     FP4100 /security/local-user #

ملاحظات واعتبارات

• عندما تكون المصادقة عن بعد (TACACS و RADIUS و LDAP و SSO) هي الطريقة الافتراضية، لا يمكنك تسجيل الدخول إلى "مدير هيكل جدار الحماية" باستخدام حساب مستخدم محلي ما لم تكن المصادقة عن بعد غير متوفرة.
• لا يمكن إستخدام حسابات المستخدمين المحلية والبعيدة بشكل تبادلي عندما تكون المصادقة عن بعد نشطة.
• في السيناريو، إذا تم تعيين طريقة مصادقة منفذ وحدة التحكم على "محلي"، فإنها تسمح بالتحقق من بيانات اعتماد المسؤول الجديد وإلا كنت بحاجة إلى قطع اتصال خادم المصادقة عن بعد لاختبار بيانات اعتماد المسؤول.

السبب

• تم فقد كلمة مرور المسؤول المحلي لهيكل FXOS أو غير معروفة، مما يمنع الوصول الإداري المباشر باستخدام الحساب المحلي.
• تم تكوين جميع حسابات مستخدمي TACACS الموجودة باستخدام امتيازات القراءة فقط، والتي قيدت القدرة على تنفيذ المهام الإدارية الضرورية، مثل إعادة تمهيد الهيكل والترقيات والنسخ الاحتياطي ل FXOS من الوصول عن بعد.
• وقد أدى هذا الموقف إلى خلق خطر عدم القدرة على إدارة الجهاز أو إسترداده إذا كان هناك حاجة إلى إجراء مزيد من التغييرات أو أستكشاف الأخطاء وإصلاحها.
• وقد تطلب ذلك إعادة تعيين كلمة مرور المسؤول لمتابعة أنشطة الصيانة المخططة.

المحتوى ذي الصلة

• إدارة مستخدم FXOS
• إجراء إسترداد كلمة المرور لأجهزة FirePOWER 9300/4100 Series