Einleitung
In diesem Dokument wird beschrieben, wie Sie Ihr verlorenes Administratorkennwort für eine Cisco E-Mail Security Appliance (ESA), eine Cisco Security Management Appliance (SMA) oder eine Cisco Web Security Appliance (WSA) zurücksetzen. Dieses Dokument gilt für hardwarebasierte und virtualisierungsbasierte AsyncOS-Appliances.
Administratorkennwort zurücksetzen
Das Kennwort für das Admin-Konto einer Appliance kann nur über die serielle Konsole zurückgesetzt werden. Hierbei wird ein temporäres Kennwort verwendet, das das Cisco Technical Assistance Center (TAC) erstellen kann. Gehen Sie wie folgt vor, um das Administratorkennwort auf Ihrer Appliance zurückzusetzen:
- Wenden Sie sich für ein temporäres Administratorkennwort an den Cisco Kundensupport.
Hinweis: Sie müssen die vollständige Seriennummer der Appliance in Ihrer Anfrage oder den Ticketnotizen angeben.
- Wenn Sie das temporäre Admin-Kennwort erhalten:
- Melden Sie sich als Benutzer an
adminpassword
.
- Geben Sie das temporäre Administratorkennwort ein, das Sie vom Cisco Kundensupporttechniker erhalten haben, und drücken Sie Return (Zurück).
- Geben Sie das neue Kennwort für den Admin-Benutzer ein.
AsyncOS myesa.local (ttyv0)
login: adminpassword
Password: <<
>>
Last login: Fri Feb 6 20:45 from 192.168.0.01
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C370 build 092
Welcome to the Cisco C370 Email Security Appliance
Chaning local password for admin
New Password: <<
>>
Retype New Password: <<
>>
AsyncOS myesa.local (ttyv0)
login: admin
Password: <<
Schritte zum Entsperren des Administratorbenutzerkontos
Das Administratorkonto kann nur über direkten physischen Zugriff auf die Appliance entsperrt werden. Nachdem Sie sich über das Reset-Admin-Konto an der Appliance angemeldet haben, stellen Sie sicher, dass der Admin-Benutzer nicht aufgrund von aufeinander folgenden Anmeldefehlern gesperrt wurde. Um dies zu bestätigen, geben Sie den userconfig
in der CLI:
Hinweis: Neuere Codeversionen, 12.x und höher, fordern Sie zur Eingabe eines vorhandenen Administratorrollenkennworts auf, um Änderungen an den Benutzern vorzunehmen.
> userconfig
Users:
1. admin - "Administrator" (admin) (locked)
2. dlpuser - "DLP User" (dlpeval)
External authentication: Disabled
Choose the operation you want to perform:
- NEW - Create a new account.
- EDIT - Modify an account.
- DELETE - Remove an account.
- POLICY - Change password and account policy settings.
- PASSWORD - Change the password for a user.
- ROLE - Create/modify user roles.
- STATUS - Change the account status.
- EXTERNAL - Configure external authentication.
- DLPTRACKING - Configure DLP tracking privileges.
Wenn der Admin-Benutzer gesperrt ist, wird er mit (gesperrt) markiert, wie in der Ausgabe gezeigt.
Hinweis: Nur das Admin-Konto kann den Status für den Admin-Benutzer ändern. Der Administrator-Benutzer kann unabhängig von der Rolle des Kontos in der Appliance nicht von einem anderen lokalen Benutzerkonto geändert werden. Wie bereits erwähnt, muss dies ebenfalls über eine serielle/Konsolenverbindung erfolgen.
Die einzige andere Möglichkeit besteht darin, den Administrator durch den Cisco Kundensupport zur Freigabe aufzufordern. Dies setzt voraus, dass Sie über ein Konto mit einer Administratorrolle für die Appliance verfügen und sich mit diesem Konto bei der CLI oder der GUI anmelden können. Diese Option erfordert außerdem einen offenen Remote-Support-Tunnel zur Appliance.
Um den Admin-Benutzer oder ein anderes Benutzerkonto mit dem Status locked zu entsperren, geben Sie den userconfig
-Befehl ein, und gehen Sie wie hier dargestellt vom Startmenü aus:
Hinweis: Bei neueren Versionen von AsyncOS können Sie Ihre Passphrase eingeben müssen, nachdem Sie das status
aus. Wenn Sie dazu aufgefordert werden, verwenden Sie das neue Kennwort, das Sie im vorherigen Schritt festgelegt haben.
[]> status
Enter the username or number to edit.
[]> 1
This account is locked due to consecutive log-in failures.
Do you want to make this account available? [N]> y
Account admin is now available.
Users:
1. admin - "Administrator" (admin)
2. dlpuser - "DLP User" (dlpeval)
Hinweis: Sie müssen die Appliance-Konfiguration nicht bestätigen, wenn Sie nur den Status für den Administrator-Benutzer ändern.
Zugehörige Informationen