Réinitialisez votre mot de passe administrateur et déverrouillez le compte d'utilisateur administrateur

Introduction

Ce document décrit comment réinitialiser votre mot de passe de compte d'administrateur perdu pour un appareil de sécurité de la messagerie électronique Cisco (ESA), un appareil de gestion de la sécurité Cisco (SMA) ou un appareil de sécurité Web Cisco (WSA). Ce document s'applique aux appareils AsyncOS basés sur le matériel et sur le virtuel.

Réinitialiser votre mot de passe administrateur

Le mot de passe du compte d'administrateur d'une appliance ne peut être réinitialisé que via la console série, à l'aide d'un mot de passe temporaire que le Centre d'assistance technique Cisco (TAC) peut générer. Complétez ces étapes afin de réinitialiser votre mot de passe administrateur (admin) sur votre appareil :

1. Contactez l'assistance à la clientèle Cisco pour obtenir un mot de passe administrateur temporaire.

   Remarque : vous devez fournir le numéro de série complet de l'appliance dans vos notes de demande ou de dossier.

2. Lorsque vous recevez le mot de passe admin temporaire :
   
   
   • Pour les appliances matérielles, accédez à l'appliance via une connexion série directe :
     
     

     Bits per second: 9600
     Data bits: 8
     Parity: None
     Stop bits: 1
     Flow control: Hardware

   • Pour les appliances virtuelles, accédez à l'appliance à partir de la console ESXi ou d'une autre console d'hôte virtuel.
     
     
3. Connectez-vous en tant qu'utilisateur adminpassword.
   
   
   1. Saisissez le mot de passe d'administration temporaire que vous avez reçu de l'ingénieur du support client Cisco et appuyez sur Retour.
      
      
   2. Saisissez le nouveau mot de passe de l'utilisateur admin.
      
      

      AsyncOS myesa.local (ttyv0)
      
      login: adminpassword
      Password:  <<
              
              
                >> 
              
      Last login: Fri Feb 6 20:45 from 192.168.0.01
      Copyright (c) 2001-2013, Cisco Systems, Inc.
      
      AsyncOS 8.5.6 for Cisco C370 build 092
      Welcome to the Cisco C370 Email Security Appliance
      Chaning local password for admin
      New Password:  <<
              
              
                >> 
              
      Retype New Password:  <<
              
              
                >> 
              
      
      AsyncOS myesa.local (ttyv0)
      
      login: admin
      Password:  <<
              
              
                >> 
              

Étapes de déverrouillage du compte d'utilisateur Admin

Le compte admin ne peut être déverrouillé que via un accès physique direct à l'appliance. Maintenant que vous êtes connecté via le compte de réinitialisation de l'administrateur sur l'appliance, vérifiez que l'utilisateur admin n'a pas été verrouillé en raison d'échecs de connexion consécutifs. Afin de confirmer ceci, entrez la userconfig dans la CLI :

Remarque : les versions plus récentes du code, 12.x et ultérieures, demandent un mot de passe de rôle d'administrateur existant afin d'apporter des modifications aux utilisateurs.

> userconfig


Users:
1. admin - "Administrator" (admin) (locked)
2. dlpuser - "DLP User" (dlpeval)

External authentication: Disabled

Choose the operation you want to perform:
- NEW - Create a new account.
- EDIT - Modify an account.
- DELETE - Remove an account.
- POLICY - Change password and account policy settings.
- PASSWORD - Change the password for a user.
- ROLE - Create/modify user roles.
- STATUS - Change the account status.
- EXTERNAL - Configure external authentication.
- DLPTRACKING - Configure DLP tracking privileges.

Si l'utilisateur admin est verrouillé, il est noté avec (locked), comme indiqué dans le résultat.

Remarque : seul le compte admin peut modifier l'état de l'utilisateur admin. L'utilisateur admin ne peut pas être modifié par un autre compte d'utilisateur local, quel que soit le rôle du compte sur l'appliance. De plus, comme mentionné précédemment, cette opération doit être effectuée via une connexion série/console.

La seule autre option consiste à demander que l'utilisateur admin soit déverrouillé par l'assistance à la clientèle Cisco. Cela suppose que vous disposez d'un compte qui a un rôle d'administrateur sur l'appliance et que vous pouvez vous connecter à l'interface de ligne de commande ou à l'interface utilisateur graphique avec ce compte. Cette option nécessite également l'ouverture d'un tunnel de support à distance vers l'appliance.

Afin de déverrouiller l'utilisateur admin, ou tout autre compte d'utilisateur à l'état verrouillé, entrez la userconfig et continuez à partir du menu démarrer comme indiqué ici :

Remarque : dans les versions plus récentes d'AsyncOS, vous devrez peut-être saisir votre phrase de passe après avoir saisi le status erasecat4000_flash:. Lorsque vous y êtes invité, utilisez le nouveau mot de passe que vous avez défini à l'étape précédente.

[]> status

Enter the username or number to edit.
[]> 1

This account is locked due to consecutive log-in failures.

Do you want to make this account available? [N]> y

Account admin is now available.

Users:
1. admin - "Administrator" (admin)
2. dlpuser - "DLP User" (dlpeval)

Remarque : vous n'êtes pas obligé de valider la configuration de l'appliance lorsque vous modifiez uniquement l'état de l'utilisateur admin.

Informations connexes

• FAQ ESA : Quels sont les niveaux d'accès administratif disponibles sur l'ESA ?
• Guides de l'utilisateur final du dispositif de sécurisation de messagerie Cisco
• Guides de l'utilisateur final des appareils de sécurité Web Cisco
• Guides de l'utilisateur final de Cisco Security Management Appliance
• Assistance et documentation techniques - Cisco Systems