Cisco DNA CenterのMaglevユーザパスワードのリセット

はじめに

このドキュメントでは、Maglevユーザのパスワードのロックを解除またはリセットする方法について説明します。

背景説明

Maglevアカウントがロックアウトされている場合は、ログインしてロックを解除することはできません。Maglevユーザのパスワードのロックを解除またはリセットするには、Cisco IMC vKVMにイメージをマウントする必要があります。これにより、シェルにアクセスし、ユーザやパスワードをリセットできます。

前提条件

要件

• Ubuntu 16.04以降のISOイメージはhttps://ubuntu.com/download/desktopからダウンロードする必要があります。

• ローカルシステムにISOをダウンロードした後、Cisco Integrated Management Controller(CIMC)KVMにISOをマウントする必要があります。
• KVMにISOがマウントされたら、ISOからブートする必要があります。
• Ubuntuにアクセスできたら、rootディレクトリとvarディレクトリをシステムにマウントします。
• rootディレクトリとvarディレクトリをマウントした後、Maglevユーザーアカウントのロックを解除して変更できます。
• 最後に、アプライアンスをリブートし、Maglevでログインできることを確認し、設定ウィザードでパスワードをリセットします。

使用するコンポーネント

この操作はUbuntu 20.04イメージで実行されました。イメージが異なると、時刻と結果も異なります。 

一部の環境では、Ubuntuデスクトップに到達するまでに最大2時間かかることが確認されています。

この操作は、Ubuntuデスクトップバージョンに限定されません。必要なのはシェルへのアクセスだけです。シェルアクセスを提供するすべてのUbuntuイメージは、この操作に対して動作します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

ステップ1：ライブCDからの起動

Cisco IMC GUIにログインし、Launch KVMを選択してから、Virtual Media > Activate Devicesの順に選択します。

次に、Map CD/DVDの順に選択します。

その後、Browseを選択し、ローカルシステムにダウンロードしたUbuntu ISOイメージを選択します。Ubuntuイメージを選択したら、Map Driveボタンを選択します。

次に、電源>システムのリセット（ウォームブート）でアプライアンスの電源を再投入します。

システムのリブートが完了したら、Ciscoロゴが表示されたらF6キーを押します。「Entering Boot Menu ...」というメッセージが表示されます。 

ブートメニューがポップアップ表示されたら、Cisco vKVM-Mapped vDVD1.24というオプションを選択します。これにより、アプライアンスは以前に選択したマッピングされたUbuntuイメージから起動します。

***注：スクリーンショットは、Ubuntuデスクトップに到達するまでの時間を示しています。0.***

Ubuntuのロード画面が表示されますが、システムの初期化が始まると、ほとんど空白になります。

その後、画面が変わり、Ubuntuロゴが付いたホイールが表示されます。（この移行には最大30分かかる可能性があります）。

画面に「Checking disks: 0% complete」というメッセージが表示されたら、このタスクをキャンセルする必要があります。ディスクチェックをキャンセルするには、Ctrl+Cを押します。

ディスクチェックがスキップされたら、回転ホイールに戻ります。次に、Ubuntuロゴだけの空白のウィンドウが表示されます。（処理には、さらに30 ～ 45分かかります）。

システムがUbuntuの使用を開始すると、最終的にいくつかのメッセージが表示され始めます。失敗したメッセージが表示される点に注意してください。このウィンドウは最大20分間保持されます。その後、ウィンドウは空白の画面に戻ります。さらに10 ～ 20分経過すると、カーソルが表示されます。Ubuntu GUIはその後すぐにロードされます。

***注意：一部の環境では、この時点まで最長で2時間かかることが確認されています***

手順2：必要なパーティションをマウントする

UbuntuデスクトップGUI環境にアクセスしたら、ターミナルアプリケーションを開いて次の手順を実行する必要があります

• 一時マウントポイントを作成します。
• rootパーティションとvarパーティションをシステムにマウントします。
• 仮のファイルシステムを一時マウントポイントにマウントします。

まず、次のコマンドを使用して一時マウントポイントを作成します。

sudo mkdir /altsys

次に、マウントするルートパーティションとvarパーティションを探します。lsblk -fmコマンドを使用して、"/"（ルート）および"/var"にマウントするパーティションを検索できます。

$ lsblk -fm 
NAME FSTYPE LABEL UUID MOUNTPOINT SIZE OWNER GROUP MODE
 sda 446.1G root disk brw-rw----
 |-sda1 1M root disk brw-rw----
 |-sda2 ext4 install1 1cac7f26-3b8b-43dd-838c-9970000cef3e 28.6G root disk brw-rw----
 |-sda3 vfat 52E8-2653 239M root disk brw-rw----
 |-sda4 ext4 var 0f0e3643-d4eb-46e8-af9f-756906c5f04a 9 .5G root disk brw-rw----
 |-sda5 swap 221b2f64-5a44-404f-b47d-8489fec47598 30.5G root disk brw-rw----
 |-sda6 ext4 data 8aff5ec4-924f-42f9-9ca0-705e5807859a 348.8G root disk brw-rw----
 |-sda7 ext4 a0e853e9-b2d6-4099-ac77-2f322c2a3a26 28.4G root disk brw-rw----
 sdb 1.8T root disk brw-rw----
 |-sdb1 ext4 9b5c4182-9e9d-4e8a-baf6-8a88232f8bcd 426.1G root disk brw-rw----
 |-sdb2 ext4 e918dda6-133b-44ee-b005-5e9707088198 1.3T root disk brw-rw----
 sdc 5.2T root disk brw-rw----
 |-sdc1 ext4 bea4d6d5-7750-4bac-b724-f18867e2029c 5.2T root disk brw-rw----

***出力では、「install1」はルート「/」、「var」は「/var」であることに注意してください。0.***

mountコマンド用のパーティションを書き留めます。ラベルが表示されない場合は、次の手順を実行します。

• /var：アプライアンスプロファイルに基づいて、9.5Gまたは168GBのパーティションを探します。
• /用：28.66 GBまたは47.7 GB同じサイズの28.46 GBの/install-artifactsが存在することに注意してください。

varパーティションとrootパーティションを特定したら、それらをマウントします。

sudo mount /dev/sda2  /altsys   # use the disk with up to 5 or 6 partitions 
sudo mount /dev/sda4 /altsys/var       # use the disk with up to 5 or 6 partitions 

rootとvarがマウントされたら、ファイルシステムをマウントします。

sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev  /altsys/dev
sudo mount --bind /sys  /altsys/sys

パスワードを変更するか、Maglevアカウントのロックを解除する前の最後の手順は、一時的なマウント環境に変更することです。

sudo chroot /altsys

使用例1: Maglevアカウントのロックを解除する

手順1:maglevユーザがロック解除されていることを確認します

grep maglev /etc/shadow

maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::

パスワードハッシュの前に感嘆符(!)があるかどうかを確認します。存在する場合は、アカウントがロックされていることを示します。ユーザのロックを解除するコマンドを入力します。

maglevユーザのロックを解除するには、次のコマンドを使用します。

usermod -U maglev

ステップ2：失敗したカウントのリセット

/etc/shadowファイル内のハッシュの前にエスカレーションマークが表示されていない場合は、ログイン失敗の制限を超えています。失敗したログイン試行をリセットするには、次の手順を使用してください。

maglevユーザの失敗したログイン試行を検索します。

$ sudo pam_tally2 -u maglev

Login           Failures Latest failure     From
maglev              454    11/25/20 20:24:05  x.x.x.x

ここに示すように、ログインの試行回数はデフォルトの6回の試行回数よりも多くなります。 これにより、そのユーザは障害カウントが6未満に下がるまでログインできなくなります。次のコマンドを使用して、ログイン障害カウントをリセットできます。

sudo pam_tally2 -r -u maglev

カウンタがリセットされたことを確認できます。

sudo pam_tally2 -u maglev

Login           Failures Latest failure     From
maglev                0    

使用例2:Maglevユーザパスワードのリセット

ステップ1:Maglevユーザパスワードをリセットします。

# passwd maglev

Enter new UNIX password:   #Enter in the desired password

Retype new UNIX password: #Re-enter the same password previously applied

Password has been already used.

passwd: password updated successfully  #Indicates that the password was successfully changed

ステップ2:Cisco DNA Center環境で正常にリブートする

KVMウィンドウでPowerをクリックしてから、Reset System (warm boot)をクリックします。これにより、システムがリブートし、RAIDコントローラを使用してブートするため、Cisco DNA Centerソフトウェアがブートアップします。

ステップ3:Cisco DNA Center CLIからMaglevユーザパスワードを更新する

Cisco DNA Centerソフトウェアが起動し、CLIにアクセスできるようになったら、sudo maglev-config updateコマンドを使用してMaglevパスワードを変更する必要があります。この手順は、変更がシステム全体に確実に反映されるようにするために必要です。

構成ウィザードが起動したら、ウィザードを完全に移動して、ステップ6でMaglevパスワードを設定できる画面を表示する必要があります。

Linux PasswordとRe-enter Linux Passwordの両方のフィールドにパスワードを設定したら、nextを選択してウィザードを完了します。ウィザードが設定のプッシュを完了すると、パスワードが正常に変更されます。新しいSSHセッションを作成するか、CLIでコマンドsudo -iを入力して、パスワードが変更されたことをテストできます。