Einleitung
In diesem Dokument wird beschrieben, wie Sie das Kennwort für den Maglev-Benutzer entsperren und/oder zurücksetzen können.
Hintergrundinformationen
Wenn das Maglev-Konto gesperrt ist, können Sie sich nicht anmelden, um es zu entsperren. Um das Kennwort für den Maglev-Benutzer zu entsperren und/oder zurückzusetzen, müssen Sie ein Image auf Cisco IMC vKVM mounten. Dadurch können Sie auf die Shell zugreifen und den Benutzer und/oder das Kennwort zurücksetzen.
Voraussetzungen
Anforderungen
Verwendete Komponenten
Dieser Vorgang wurde auf Ubuntu 20.04-Image ausgeführt; ein anderes Image erzeugt unterschiedliche Zeiten und Ergebnisse.
In einigen Umgebungen dauerte es bis zu 2 Stunden, um den Ubuntu-Desktop zu erreichen.
Dieser Vorgang ist nicht ausschließlich auf die Ubuntu-Desktop-Version beschränkt. Alles, was erforderlich ist, ist der Zugriff auf die Shell. Jedes Ubuntu-Image, das Shell-Zugriff bereitstellt, funktioniert für diesen Vorgang.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweis: Sie können das gleiche Verfahren in einer DR-Umgebung verwenden. Beachten Sie jedoch folgende Punkte:
*** Stellen Sie sicher, dass sich die Notfallwiederherstellung im Zustand PAUSE befindet, bevor Sie versuchen, ein Kennwort wiederherzustellen/zurückzusetzen ***
Bei einer 1+1+1-DR-Bereitstellung ist der entsprechende Standort ausgefallen, während dieser Prozess abgeschlossen ist.
Wenn Ihre Kennwörter auf allen drei Knoten aktualisiert werden sollen, sollten Sie dies in einer 3+3+3-Konfiguration mit einem Knoten nach dem anderen tun, um sicherzustellen, dass die beiden anderen Knoten verfügbar sind, um ein unnötiges DR-Failover zu vermeiden.
Schritt 1: Starten von der Live-CD
Melden Sie sich bei der Cisco IMC-Benutzeroberfläche an, wählen Sie KVM starten und dann Virtual Media > Activate Devices (Virtuelle Medien > Geräte aktivieren).
Wählen Sie dann Karte CD/DVD.
Wählen Sie danach Durchsuchen und dann das Ubuntu ISO-Image aus, das Sie auf Ihr lokales System heruntergeladen haben. Nachdem Sie das Ubuntu-Image ausgewählt haben, wählen Sie die Schaltfläche Laufwerk zuordnen.
Schalten Sie die Einheit anschließend mit Power > Reset System (Warmstart) aus und wieder ein.
Drücken Sie nach dem Neustart des Systems die F6-Taste, wenn das Cisco Logo angezeigt wird. Erwarten Sie die Meldung "Entering Boot Menu ...".
Wenn das Startmenü angezeigt wird, wählen Sie die Option Cisco vKVM-Mapped vDVD1.24 aus. Dadurch wird die Appliance von dem zuvor ausgewählten zugeordneten Ubuntu-Image gestartet.
*** HINWEIS: Die Screenshots veranschaulichen, wie lange es dauert, den Ubuntu-Desktop zu erreichen. ***
Sie sehen einen Ladebildschirm für Ubuntu, der größtenteils leer ist, wenn das System zu initialisieren beginnt.
Danach ändert sich der Bildschirm zu einem Rad mit dem Ubuntu-Logo. (Dieser Übergang kann bis zu 30 Minuten in Anspruch nehmen.)
Sobald auf dem Bildschirm die Meldung "Prüfung der Datenträger: 0% abgeschlossen" angezeigt wird, müssen Sie diese Aufgabe abbrechen. Drücken Sie Strg+C, um die Überprüfung der Festplatte abzubrechen.
Nachdem die Überprüfung der Festplatte übersprungen wurde, fahren Sie zurück zu einem rotierenden Rad. Dann bekommen Sie ein leeres Fenster mit nur dem Ubuntu-Logo. (Die Bearbeitung kann weitere 30 bis 45 Minuten dauern).
Wenn das System startet, werden einige Meldungen angezeigt. Bitte beachten Sie, dass die fehlgeschlagenen Nachrichten erwartet werden. Dieses Fenster bleibt bis zu 20 Minuten geöffnet. Danach wird das Fenster auf einen leeren Bildschirm zurückgesetzt. Nach weiteren 10-20 Minuten erscheint der Cursor. Die Ubuntu-Benutzeroberfläche wird kurze Zeit später geladen.
*** ERINNERUNG: In einigen Umgebungen dauerte es bis zu 2 Stunden, um diesen Punkt zu erreichen ***
Schritt 2: Bereitstellen erforderlicher Partitionen
Sobald Sie Zugriff auf die Ubuntu Desktop-GUI-Umgebung haben, müssen Sie die Terminalanwendung öffnen und diese Schritte ausführen
- Erstellen Sie einen temporären Bereitstellungspunkt.
- Mounten Sie die Root- und VAR-Partitionen im System.
- Mounten Sie die Pseudodateisysteme am temporären Mount-Punkt.
Erstellen Sie zuerst den temporären Einhängepunkt mit dem folgenden Befehl:
sudo mkdir /altsys
Finden Sie als Nächstes die Root- und var-Partitionen, die gemountet werden sollen. Mit dem Befehl lsblk -fm können Sie nach einer Partition suchen, die für "/" (root) und "/var" gemountet werden soll.
$ lsblk -fm
NAME FSTYPE LABEL UUID MOUNTPOINT SIZE OWNER GROUP MODE
sda 446.1G root disk brw-rw----
|-sda1 1M root disk brw-rw----
|-sda2 ext4 install1 1cac7f26-3b8b-43dd-838c-9970000cef3e 28.6G root disk brw-rw----
|-sda3 vfat 52E8-2653 239M root disk brw-rw----
|-sda4 ext4 var 0f0e3643-d4eb-46e8-af9f-756906c5f04a 9 .5G root disk brw-rw----
|-sda5 swap 221b2f64-5a44-404f-b47d-8489fec47598 30.5G root disk brw-rw----
|-sda6 ext4 data 8aff5ec4-924f-42f9-9ca0-705e5807859a 348.8G root disk brw-rw----
|-sda7 ext4 a0e853e9-b2d6-4099-ac77-2f322c2a3a26 28.4G root disk brw-rw----
sdb 1.8T root disk brw-rw----
|-sdb1 ext4 9b5c4182-9e9d-4e8a-baf6-8a88232f8bcd 426.1G root disk brw-rw----
|-sdb2 ext4 e918dda6-133b-44ee-b005-5e9707088198 1.3T root disk brw-rw----
sdc 5.2T root disk brw-rw----
|-sdc1 ext4 bea4d6d5-7750-4bac-b724-f18867e2029c 5.2T root disk brw-rw----
*** Bitte beachten Sie, dass "install1" root "/" und "var" "/var" in der Ausgabe ist. ***
Notieren Sie sich die Partition für Mount-Befehle. Wenn die Beschriftungen nicht angezeigt werden, gehen Sie wie folgt vor:
- für /var: je nach Appliance-Profil eine 9,5-G- oder 168-GB-Partition suchen
- für /: 28,66 GB oder 47,7 GB. Beachten Sie, dass es /install-Artefakte mit ähnlicher Größe 28.46GB gibt.
Sobald Sie die var und die Root-Partitionen identifiziert haben, mounten Sie sie:
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions
sudo mount /dev/sda4 /altsys/var # use the disk with up to 5 or 6 partitions
Sobald root und var gemountet sind, mounten Sie die psuedo-Dateisysteme:
sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev /altsys/dev
sudo mount --bind /sys /altsys/sys
Der letzte Schritt, bevor Sie das Passwort ändern oder das Maglev-Konto entsperren, besteht darin, in die temporäre Mount-Umgebung zu wechseln:
sudo chroot /altsys
Anwendungsfall 1: Entsperren des Maglev-Kontos
Schritt 1: Vergewissern Sie sich, dass der Maglev-Benutzer entsperrt ist
grep maglev /etc/shadow
maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
Überprüfen Sie, ob vor dem Passwort-Hash ein Ausrufezeichen steht. Wenn dies der Fall ist, weist dies darauf hin, dass das Konto gesperrt ist. Geben Sie den Befehl ein, um den Benutzer zu entsperren:
Entsperren Sie den maglev-Benutzer mit dem Befehl:
usermod -U maglev
Schritt 2: Zurücksetzen der Anzahl fehlgeschlagener Angriffe
Wenn der Benutzer keine Eskalationsmarkierung vor dem Hash in der /etc/shadow-Datei hat, wurde die Anmeldefehlergrenze überschritten. Führen Sie diese Schritte aus, um fehlgeschlagene Anmeldeversuche zurückzusetzen.
Fehlgeschlagene Anmeldeversuche für den maglev-Benutzer finden:
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 454 11/25/20 20:24:05 x.x.x.x
Wie hier gezeigt, sind die Anmeldeversuche größer als die standardmäßigen 6 Versuche. Dadurch wird dem Benutzer die Anmeldung verweigert, bis die Anzahl der Ausfälle unter sechs (6) fällt. Sie können die Anzahl der Anmeldefehler mit dem folgenden Befehl zurücksetzen:
sudo pam_tally2 -r -u maglev
Sie können bestätigen, dass der Zähler zurückgesetzt wurde:
sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 0
Anwendungsfall 2: Maglev-Benutzerkennwort zurücksetzen
Schritt 1: Maglev-Benutzerkennwort zurücksetzen
# passwd maglev
Enter new UNIX password: #Enter in the desired password
Retype new UNIX password: #Re-enter the same password previously applied
Password has been already used.
passwd: password updated successfully #Indicates that the password was successfully changed
Schritt 2: Normaler Neustart in der Cisco DNA Center-Umgebung
Klicken Sie im KVM-Fenster auf Power (Ein/Aus) und dann auf Reset System (Warmstart). Dadurch wird das System neu gestartet und mit dem RAID-Controller gestartet, sodass die Cisco DNA Center-Software hochgefahren wird.
Schritt 3: Aktualisieren des Maglev-Benutzerkennworts von der Cisco DNA Center CLI
Sobald die Cisco DNA Center-Software gestartet wurde und Sie Zugriff auf die CLI haben, müssen Sie das Maglev-Kennwort mit dem Befehl sudo maglev-config update ändern. Dieser Schritt ist erforderlich, um sicherzustellen, dass die Änderung im gesamten System wirksam wird.
Nachdem der Konfigurationsassistent gestartet wurde, müssen Sie vollständig durch den Assistenten navigieren, um einen Bildschirm anzuzeigen, in dem Sie das Maglev-Kennwort in Schritt 6 festlegen können.
Sobald das Kennwort für beide Felder Linux Password und Re-enter Linux Password festgelegt wurde, wählen Sie Weiter und schließen Sie den Assistenten ab. Wenn der Assistent die Push-Konfiguration abgeschlossen hat, wird das Kennwort erfolgreich geändert. Sie können eine neue SSH-Sitzung erstellen oder den Befehl sudo -i in der CLI eingeben, um zu testen, ob das Kennwort geändert wurde.