Cisco Catalyst CenterのMaglevユーザパスワードのリセット

はじめに

このドキュメントでは、Maglevユーザのパスワードをロック解除またはリセットする方法について説明します。

背景説明

Maglevアカウントがロックアウトされている場合は、ログインしてロックを解除することはできません。Maglevユーザのパスワードのロックを解除またはリセットするには、Cisco IMC vKVMにイメージをマウントする必要があります。これにより、シェルにアクセスし、ユーザやパスワードをリセットできます。

前提条件

オンプレミス（物理アプライアンス）の要件

• Ubuntu 18.04以降のISOイメージはhttps://ubuntu.com/download/desktopからダウンロードする必要があります。Cisco Catalyst Centerと同じバージョンの18.04が推奨されます。

• ローカルシステムにISOをダウンロードしたら、次にCisco Integrated Management Controller(CIMC)KVMにISOをマウントする必要があります。
• KVMにISOをマウントしたら、ISOからブートする必要があります。
• Ubuntuにアクセスしたら、rootディレクトリとvarディレクトリをシステムにマウントします。
• rootディレクトリとvarディレクトリをマウントした後、Maglevユーザーアカウントのロックを解除して変更できます。
• 最後に、アプライアンスをリブートし、Maglevでログインできることを確認し、コンフィギュレーションウィザードでパスワードをリセットします。

仮想アプライアンス(ESXi)の要件

• ISOのダウンロード
• ISOをデータストアISOファイルの場所またはvSphere/vCenterのコンテンツライブラリにアップロードします。
• VM（仮想マシン）へのCD/DVD romの追加
• ブート遅延をより大きな値に変更する

使用するコンポーネント

この操作はUbuntu 18.04イメージで実行されました。イメージが異なると、時間と結果も異なります。 

一部の環境では、Ubuntuデスクトップに到達するのに最大2時間かかることが確認されていますが、ほとんどのお客様の場合、プロセスは30分以内に完了します。

この操作は、Ubuntuデスクトップバージョンに限定されません。必要なのは、シェルへのアクセスだけです。シェルアクセスを提供するすべてのUbuntuイメージは、この操作に対して動作します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

注:DR環境でも同じ手順を使用できます。ただし、次の点に注意してください。

***パスワードの回復/リセット方法を試行する前に、ディザスタリカバリが一時停止状態であることを確認します***

1+1+1のDR導入では、このプロセスが完了する間、対応するサイトがダウンします。

3+3+3では、3つのノードすべてでパスワードを更新する場合は、他の2つのノードを確実に使用して不要なDRフェールオーバーを回避するために、1回に1つのノードで実行します。

手順1a：ライブCDからの起動（オンプレミス）

Cisco IMC GUIにログインし、Launch KVMを選択してから、Virtual Media > Activate Devicesの順に選択します。

次に、Map CD/DVDの順に選択します。

その後、Browseを選択し、ローカルシステムにダウンロードしたUbuntu ISOイメージを選択します。Ubuntuイメージを選択したら、Map Driveボタンを選択します。

次に、電源>システムのリセット（ウォームブート）でアプライアンスの電源を再投入します。

システムのリブートが完了したら、Ciscoロゴが表示されたらF6キーを押します。  

次のような画面が表示されるため、正しく動作しなかったようです。

しかし、2番目の画面が表示され、ブートメニューに入っていることがわかります。シスコの最初の画面でF6キーを押し忘れた場合は、ここで押すことができます

ブートメニューがポップアップ表示されたら、Cisco vKVM-Mapped vDVD1.24というオプションを選択します。これにより、アプライアンスは以前に選択したマッピングされたUbuntuイメージから起動します。

ステップ1b：ライブCDからの起動(VA - ESXi)

vCenter/vSphereで、VMがある場所に移動し、VMを右クリックして、Edit Settingsをクリックします。そこから、ADD NEW DEVICEをクリックし、CD/DVD Driveを選択します。

これで、CD/DVDドライブが設定ページに「New CD/DVD Drive」と表示されます。ISOをデータストアISOファイルにアップロードした場合は、CD/DVD用にそのオプションを選択します。それ以外の場合は、コンテンツライブラリISOファイルを選択します。

ブートに使用するISOファイルを選択します。この手順では、Ubuntu 18.04 ISOを使用します。

次に、New CD/DVD Driveの右側にあるConnectedのボックスが有効になっていることを確認します。 

設定画面の上部にあるVMオプションをクリックします。次に、Boot Optionsの下矢印をクリックして、Boot Delayの値を、10000などのより大きな値に変更します。これにより、VMの再起動後にブートメニューに入るオプションを確認する時間が与えられます。

次に、VMを再起動して、ISOから起動するためのブートメニューにアクセスできるようにします。

ステップ2a:Ubuntu ISOへのロード

***注：スクリーンショットは、Ubuntuデスクトップに到達するまでの時間を示しています。***

これは、最初に表示される画面です。何も起こっていないように見えますが、ただ待ちます。ラボでは、この画面が40秒間表示されます

その後、画面は約30秒間完全に黒くなり、Ubuntuロード画面が表示されます。この画面は、移動する前の5分強の間この画面を表示していましたが、時間は導入によって異なります。

次に、問題が発生したことを示す画面が表示されますが、これは正常です。ラボでは、この画面は2分間表示された後、次に進みます

画面は約3分間黒い画面に戻り、前の画面は数分間再び点滅し、さらに2分間黒い画面に戻りました。

次に、ライブセッションユーザを選択するオプションが表示されます。「Ubuntuデスクトップを試す」オプションが表示されたら、そのオプションを選択します。このユーザーの続行を歓迎します。

ユーザを選択すると、Ubuntuデスクトップが表示される前に、画面が再度黒くなります。

***注意：一部の環境では、このポイントに到達するまでに最大2時間かかることが確認されています***

手順2b：必要なパーティションをマウントする

UbuntuデスクトップGUI環境にアクセスしたら、ターミナルアプリケーションを開いて次の手順を実行する必要があります

• 一時マウントポイントを作成します。
• rootパーティションとvarパーティションをシステムにマウントします。
• 仮のファイルシステムを一時的なマウントポイントにマウントします。

まず、次のコマンドを使用して、一時マウントポイントを作成します。

sudo mkdir /altsys

次に、マウントするルートパーティションとvarパーティションを見つける必要があります。lsblk -fmコマンドを使用して、"/"（ルート）および"/var"にマウントするパーティションを検索できます。 次の手順でmountコマンド用に特定したパーティションを書き留めます

/varの場合は、9.5Gまたは168Gのパーティションを探します。この例ではsdb3です。

/ （ルート）で、28.66G または47.7Gのパーティションを探します。この例では、sda2です

varパーティションとrootパーティションを特定したら、それらをマウントします。

sudo mount /dev/sda2  /altsys   # use the disk with up to 5 or 6 partitions 
sudo mount /dev/sdb3 /altsys/var       # use the disk with up to 5 or 6 partitions 

rootとvarがマウントされたら、ファイルシステムをマウントします。

sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev  /altsys/dev
sudo mount --bind /sys  /altsys/sys

パスワードを変更するか、Maglevアカウントのロックを解除する前の最後の手順は、一時マウント環境に変更することです。

sudo chroot /altsys

使用例1: Maglevアカウントのロック解除

ステップ1:maglevユーザがロック解除されていることを確認します

grep maglev /etc/shadow

maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::

パスワードハッシュの前に感嘆符(!)があるかどうかを確認します。存在する場合は、アカウントがロックされていることを示します。コマンドを入力してユーザのロックを解除します。

maglevユーザのロックを解除するには、次のコマンドを使用します。

usermod -U maglev

ステップ2：失敗したカウントのリセット

ユーザの/etc/shadowファイルで、ハッシュの前にエスカレーションマークがない場合、ログイン失敗の制限を超えています。失敗したログイン試行をリセットするには、次の手順を使用します。

maglevユーザの失敗したログイン試行を検索します。

$ sudo pam_tally2 -u maglev

Login           Failures Latest failure     From
maglev              454    11/25/20 20:24:05  x.x.x.x

ここに示すように、ログインの試行回数はデフォルトの6回よりも多くなっています。 これにより、障害数が6未満に減少するまで、ユーザはログインできなくなります。 次のコマンドを使用して、ログインエラーカウントをリセットできます。

sudo pam_tally2 -r -u maglev

カウンタがリセットされたことを確認できます。

sudo pam_tally2 -u maglev

Login           Failures Latest failure     From
maglev                0    

使用例2: Maglevユーザパスワードのリセット

ステップ1:Maglevユーザパスワードをリセットします。

# passwd maglev

Enter new UNIX password:   #Enter in the desired password

Retype new UNIX password: #Re-enter the same password previously applied

Password has been already used.

passwd: password updated successfully  #Indicates that the password was successfully changed

ステップ2:Cisco DNA Center環境を正常にリブートする

KVMウィンドウでPowerをクリックしてから、Reset System (warm boot)をクリックします。 これにより、システムがリブートし、RAIDコントローラを使用してブートするため、Cisco DNA Centerソフトウェアが起動します。

ステップ3:Cisco DNA Center CLIからMaglevユーザパスワードを更新する

Cisco DNA Centerソフトウェアが起動し、CLIにアクセスできるようになったら、sudo maglev-config updateコマンドを使用してMaglevのパスワードを変更する必要があります。この手順は、変更がシステム全体に確実に反映されるようにするために必要です。

構成ウィザードが起動したら、ウィザード全体を移動して、ステップ6でMaglevパスワードを設定できる画面を表示する必要があります。

Linux PasswordとRe-enter Linux Passwordの両方のフィールドにパスワードを設定したら、nextを選択してウィザードを完了します。ウィザードが設定のプッシュを完了すると、パスワードが正常に変更されます。新しいSSHセッションを作成するか、CLIでコマンドsudo -iを入力して、パスワードが変更されたことをテストできます。

ステップバイステップのビデオガイド

リンクを使用して、このワークフロー用に作成された手順を追ったビデオにアクセスしてください。

画像：Tomas De LeonおよびFaisal Mehmood