Firepowerシステムでの管理者ユーザのパスワードのリセット

はじめに

このドキュメントでは、Firepowerシステムの管理者アカウントのパスワードをリセットする手順について説明します。

注：デフォルトクレデンシャルAdmin/admin123を使用してFirepowerシステムにログインし、パスワードのリセットが正常に行われたことを確認します。 

バックグラウンド情報

Firepower Management Center(FMC)は、CLIシェルとWebインターフェイス用に個別の管理者アカウントとパスワードを維持します。Firepowerおよび適応型セキュリティアプライアンス(ASA)Firepowerサービスなどの管理対象デバイスは、CLI、シェル、およびWebインターフェイスアクセスに単一の管理者アカウントを使用します。

注:Firepower Management Center(FMC)CLIへの参照は、バージョン6.3以降にのみ適用され、バージョン6.4で7000および8000シリーズのデバイスがサポートされます。

Firepower Threat Defense：管理者パスワードのリセット

Firepower 9300および4100プラットフォーム上のFirepower Threat Defense(FTD)論理デバイスで失われた管理者パスワードをリセットするには、『FXOSシャーシマネージャガイドによるFTDのパスワードの変更または回復』の手順を実行します。

Firepower 1000/2100/3100で実行されているFTDデバイスの場合、デバイスを再イメージ化する必要があります。これらのプラットフォームでの再イメージ化の手順については、『Firepower Threat Defenseを実行するFirepower 1000/2100シリーズのCisco FXOSトラブルシューティングガイド』を参照してください。

ASA 5500-XおよびIntegrated Security Appliance(ISA)3000モデルで実行されているFTDデバイスの場合は、デバイスのイメージを再作成する必要があります。手順については、『Cisco ASA and Firepower Threat Defense Device Reimage Guide』を参照してください。

仮想FTDデバイスの場合は、デバイスを新しい展開で置き換える必要があります。

物理デバイスのイメージを再作成すると、その設定が消去され、管理者パスワードがAdmin123にリセットされます。

アマゾンウェブサービス(AWS)でFirepower 7.0+を使用するFTDvを除き、新しいFTDvデプロイメントには設定がなく、管理者パスワードはAdmin123です。AWSでFirepower 7.0+を使用するFTDの場合、新しいデプロイには設定がなく、デフォルトのパスワードはありません。デプロイ時に管理者パスワードを入力します。

• Firepower Device Manager で管理されている FTD デバイスのイメージを再作成する場合：
  • 最近の外部に保存されたバックアップがある場合は、再イメージ化した後でバックアップ設定を復元できます。詳細については、ご使用のバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』を参照してください。
  • バックアップがない場合は、インターフェイス、ルーティングポリシー、およびDHCPとダイナミックドメインネームシステム(DDNS)の設定を含むデバイス設定を手動で再作成する必要があります。
• Firepower Management Center(FMC)で管理されているFTDデバイス、およびバージョン6.3以降を実行しているFMCとデバイスを再イメージ化する場合、再イメージ化前にFMC Webインターフェイスを使用してデバイス設定をバックアップし、再イメージ化後にバックアップを復元できます。詳細については、ご使用のバージョンの『Firepower Management Center Configuration Guide』を参照してください。

注:v6.0.1 ～ 6.2.3を実行している場合は、FTD設定をバックアップできません。v6.3.0 ～ 6.6.0を実行し、FMC Webインターフェイスからバックアップと復元を行う場合、FTDコンテナインスタンスではサポートされません。再イメージ化の後でFirepower Management Center(FMC)から共有ポリシーを適用できますが、デバイス固有の設定（インターフェイス、ルーティングポリシー、DHCP、DDNS設定など）はすべて手動で行う必要があります。

ASA Firepowerサービスモジュール：管理者パスワードのリセット

ASA FirepowerモジュールCLIの管理者パスワードは、ASAの一般的な操作CLIのsessionコマンドでリセットできます。ASA CLIのパスワードが不明な場合は、ご使用のASAバージョンの『CLIブック1:Cisco ASAシリーズのCLIコンフィギュレーションガイド(General Operations CLI Configuration Guide)』の説明に従って回復できます。

ASA 5512-XからASA 5555-X（ソフトウェアASA Firepowerモジュール）およびISA 3000デバイスを経由したASA 5555-XおよびASA 5506-Xでの管理者パスワードのリセット

ASA FirepowerソフトウェアモジュールまたはISA 3000デバイスの管理者ユーザをデフォルトパスワードにリセットするには、ASAプロンプトで次のコマンドを入力します。session sfr do password-reset

詳細については、使用しているASAバージョンに対応する『Cisco ASAシリーズCLIブック2:Cisco ASAシリーズファイアウォールCLIコンフィギュレーションガイド』を参照してください。

ASA 5585-Xシリーズデバイスでの管理者パスワードのリセット（ハードウェアASA Firepowerモジュール）

ASA Firepowerハードウェアモジュールの管理者ユーザをデフォルトパスワードにリセットするには、ASAプロンプトで次のコマンドを入力します。session 1 do password-reset

詳細については、使用しているASAバージョンに対応する『Cisco ASAシリーズCLIブック2:Cisco ASAシリーズファイアウォールCLIコンフィギュレーションガイド』を参照してください。

FMCおよびNGIPSvのCLIまたはシェルの管理者パスワードの変更

これらの管理者アカウントの既知のパスワードをリセットするには、次の手順を使用します。

• Firepower Management Center(FMC):CLIまたはシェルへのアクセスに使用される管理者パスワード。
• Next Generation Information Preservation System Virtual(NGIPSv:CLIへのアクセスに使用される管理者パスワード。

手順：

1. SSHまたはコンソールを使用して、アプライアンスの管理者アカウントにログインします。
   
   • Firepower Management Centerの場合：
     • Firepower Management Center(FMC)がFirepower v6.2以下を実行している場合、ログインするとLinuxシェルに直接アクセスできます。
     • Firepower Management Center(FMC)でFirepower v6.3または6.4が実行されていて、Firepower Management Center CLIが有効になっていない場合、ログインするとLinuxシェルに直接アクセスできます。
     • Firepower Management Center(FMC)でFirepower v6.3または6.4が実行されていて、Firepower Management CLIが有効になっている場合、ログインするとFirepower Management Center CLIに直接アクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
     • Firepower Management Center(FMC)でFirepower v6.5+が実行されている場合、ログインするとFirepower Management Center CLIに直接アクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
   • 管理対象デバイスの場合、ログインするとCLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
2. シェルプロンプトで、sudo passwd adminコマンドを入力します。
3. プロンプトが表示されたら、現在の管理者パスワードを入力して、ルートアクセス権限を昇格させます。
4. プロンプトに応じて、新しい admin パスワードを 2 回入力します。

注:「BAD PASSWORD」メッセージが表示されるのは情報提供だけを目的としています。このメッセージが表示されたとしても、システムはユーザーが指定したパスワードを適用します。ただし、セキュリティ上の理由から、より複雑なパスワードを使用することをお勧めします。

1. 「exit」と入力してシェルを終了します。
2. 管理対象デバイス、またはCLIが有効なFirepower Management Center(FMC)で、exitと入力してCLIを終了します。

FMCのWebインターフェイス管理者パスワード、または7000および8000シリーズデバイスのWebインターフェイス管理者およびCLI管理者パスワードの変更

これらの管理者アカウントの既知のパスワードをリセットするには、次の手順を使用します。

• Firepower Management Center(FMC):Webインターフェイスへのアクセスに使用される管理者パスワード。
• 7000および8000シリーズのデバイス：WebインターフェイスおよびCLIへのアクセスに使用されるadmin password。

手順：

1. 管理者アクセス権を持つユーザーとして、アプライアンスのWebインターフェイスにログインします。
2. System > Usersの順に選択し、管理者ユーザのEditアイコンをクリックします。
3. PasswordフィールドとConfirm Passwordフィールドに値を入力します。
   値は同じで、ユーザに設定されているパスワードオプションに準拠している必要があります。
4. [Save] をクリックします。

FMCまたはNGIPSvの失われたCLIまたはシェル管理パスワードのリセット、または7000および8000シリーズデバイスの失われたWebインターフェイスまたはCLIパスワードのリセット

次の手順を使用して、これらの管理者アカウントの失われたパスワードをリセットします。

• Firepower Management Center(FMC):CLIまたはシェルへのアクセスに使用される管理者パスワード。
• 7000および8000シリーズデバイス：WebインターフェイスおよびCLIへのアクセスに使用される管理者パスワード。
• NGIPSv:CLIへのアクセスに使用される管理者パスワード。

注：これらの管理者アカウントの失われたパスワードをリセットするには、アプライアンスとのコンソールまたはSSH接続を確立する必要があります（外部ユーザが設定されたFirepower Management Centerの場合は、SSH接続を使用できます）。 管理者クレデンシャルを失ったアプライアンスもリブートする必要があります。使用可能なデバイスアクセスのタイプに応じて、さまざまな方法で再起動を開始できます。
・ Firepower Management Centerでは、管理者アクセス権を持つWebインターフェイスユーザのログインクレデンシャル、またはCLI/シェルアクセス権を持つ外部認証ユーザのログインクレデンシャルが必要です。
・ 7000または8000シリーズのデバイスでは、管理対象Firepower Management Centerで、管理者アクセス権を持つWebインターフェイスユーザ、設定アクセス権を持つCLIユーザ、または管理者アクセス権を持つユーザのログインクレデンシャルが必要です。
・ NGIPSvの場合、設定アクセス権を持つCLIユーザ、または管理対象のFirepower Management Centerで管理者アクセス権を持つユーザのログインクレデンシャルが必要です。
・ Firepower Management Center(FMC)、7000および8000シリーズデバイス、NGIPSvデバイスでは、コンソール接続（物理またはリモート）がある場合、ログイン資格情報なしでこのタスクを実行できます。

これらの方法のいずれかでデバイスにアクセスできない場合、これらの手順では管理者パスワードをリセットできません。Cisco TACにお問い合わせください。

オプション 1デバイスを安全にリブートし、ブート時にシングルユーザモードに入ってパスワードをリセットする

1. admin パスワードを紛失したデバイスのアプライアンスコンソールへの接続を開きます。
   ・ 7000/8000シリーズデバイスおよびFirepower Management Centerの場合は、キーボード/モニタまたはシリアル接続を使用します。
   ・ 仮想アプライアンスの場合は、仮想プラットフォームが提供するコンソールを使用します。詳細については、『Cisco Firepower Management Center Virtual Getting Started Guide』または『Cisco Firepower NGIPSv Quick Start Guide for VMware』を参照してください。
   ・ Firepower Management Center(FMC)、7000/8000シリーズ、および仮想アプライアンスの場合は、リモートのキーボードビデオ/マウス(KVM)を使用してアプライアンスとのコンソール接続を確立している場合に、そのインターフェイスにアクセスできます。
2. 管理者パスワードを忘れたデバイスをリブートすると、次の選択肢が表示されます。
   • Firepower Management Center の場合：
   A. 管理者アクセス権を持つユーザーとして Firepower Management Center の Web インターフェイスにログインします。
   B. ご使用のバージョンの『Firepower Management Center Configuration Guide』の説明に従って、Firepower Management Center を再起動します。
   
   ・ 7000または8000シリーズのデバイスまたはNGIPSvで、管理対象のFirepower Management Centerに対する管理者アクセス権を持つWebインターフェイスユーザのクレデンシャルを持っている場合：
   a.管理者アクセス権を持つユーザとして、管理対象のFirepower Management CenterのWebインターフェイスにログインします。
   B. ご使用のバージョンの『Firepower Management Center Configuration Guide』の説明に従って、管理対象デバイスをシャットダウンして再起動します。 
   
   • 7000 または 8000 シリーズ デバイスで、管理者アクセス権を含む Web インターフェイスユーザーのログイン情報がある場合：
   A. 管理者アクセス権を持つユーザーとしてデバイスの Web インターフェイスにログインします。
   B. ご使用のバージョンの『Firepower Management Center Configuration Guide』の説明に従って、デバイスを再起動します。
   
   • 7000 または 8000 シリーズ デバイスまたは NGIPSv で、設定アクセス権を持つ CLI ユーザーのログイン情報がある場合：
   a. CLI設定アクセスを使用して、ユーザ名でシェルを使用してアプライアンスにログインします。
   B. プロンプトで、system reboot コマンドを入力します。
   
   

   ・ Firepower Management Center（7000シリーズ、8000シリーズ、およびコンソール付き仮想アプライアンス）では、CTRL-ALT-DELキーを押します(リモートKVMを使用している場合は、KVMインターフェイスを使用することで、KVM自体に干渉せずにCTRL-ALT-DELをデバイスに送信できます)。

3. アプライアンスのコンソール画面で、再起動プロセスを確認し、再起動するアプライアンスの種類に応じて次の手順を実行します。

注：システムでデータベースチェックが行われている場合は、「The system is not operational yet.データベースの確認と修復が進行中です。完了までに時間がかかる可能性があります。」

• Firepower Management Center モデル 750、1500、2000、3500、または4000 の場合、または Firepower 7000 または 8000 シリーズ デバイスまたは NGIPSv の場合は、再起動プロセスを中断します。
  A. アプライアンスが起動したら、キーボードの任意のキーを押して LILO ブートメニューでカウントダウンをキャンセルします。
  b. LILOブートメニューに表示されるバージョン番号。この例では、バージョン番号は7.4.1です

c. bootプロンプトに対して「command_version single」と入力します。ここで、versionはバージョン番号です(たとえば、「7.4.1 single」)。 システムでUnited Capabilities Approved Products List(UCAPL)コンプライアンスが有効になっている場合は、パスワードの入力を求められます。パスワードとしてSourcefireを入力します。

・ Firepower Management Center(FMC)モデル1000、1600、2500、2600、4500、4600の場合：

・ ブートメニューが表示されたら、オプション4、Cisco Firepower Management Console Password Restore Modeを選択します。
 

4. 新しい管理者パスワードを割り当てます。デバイスに適した手順を使用してください。
     ・ Firepower Management Center(FMC)またはNGIPSvの新しいCLIおよびシェル管理パスワードの場合：

a.シャープ記号(#)で終わるOSプロンプトが表示されたら、次のコマンドを入力します。
   passwd adminを入力します。

b.プロンプトが表示されたら、新しい管理者パスワードを入力します（2回）。

注:「BAD PASSWORD」メッセージが表示されるのは情報提供だけを目的としています。このメッセージが表示されたとしても、システムはユーザーが指定したパスワードを適用します。ただし、セキュリティ上の理由から、より複雑なパスワードを使用することをお勧めします。

   

・ 7000および8000シリーズデバイスの新しいWebおよびCLI管理パスワードの場合：

・ シャープ記号(#)で終わるOSプロンプトで、次のコマンドを入力します：

    usertool.pl -p '管理者パスワード'

・ passwordは新しい管理者パスワードです。

5. ログイン試行の失敗回数が多すぎたために管理者アカウントがロックされた場合は、アカウントのロックを解除する必要があります。使用しているデバイスに適した手順を使用してください。

・ Firepower Management Center(FMC)またはNGIPSvでCLIおよびシェルの管理者アカウントのロックを解除するには、シャープ記号(#)で終わるOSプロンプトで次のコマンドを入力します：

    pam_tally —user admin —reset

・ 7000および8000シリーズのデバイスでWeb管理者アカウントとCLI管理者アカウントの両方のロックを解除するには、シャープ記号(#)で終わるOSプロンプトで次のコマンドを入力します：

    usertool.pl -u管理

6. シャープ記号(#)で終わるOSプロンプトで、rebootコマンドを入力します。

7. 再起動プロセスが完了するまで待機します。

オプション 2外部認証を使用してCLIにアクセスし、Firepower Management Centerのパスワードをリセットする

管理者のアクセス権を持つアカウントでFMC Webインターフェイスにアクセスできる状況になっている場合は、外部認証機能を使用してCLIにアクセスできます。この方法を使用すると、FMCのCLIにログインし、Linuxシェルにアクセスし、ルートに昇格し、CLI/シェルの管理者パスワードを手動でリセットできます。このオプションの場合、再起動は必要 ありません。このオプションを使用するには、管理者パスワードをリセットするFirepower Management Center(FMC)で外部認証（SSHアクセス付き）が適切に設定されている必要があります(手順については、使用しているバージョンの『Firepower Management Center Configuration Guide』を参照してください)。 これを設定したら、次の手順を実行します。

1. SSHまたはコンソールを使用してCLI/シェルアクセスを持つ外部認証されたアカウントを使用して、Firepower Management Center(FMC)にログインします。
   ・ FMCがv6.2以下を実行している場合、Linuxシェルに直接アクセスできます。
   ・ FMCがv6.3または6.4を実行していて、FMC CLIが有効になっていない場合、Linuxシェルに直接アクセスできます。
   ・ FMCがv6.3または6.4を実行しており、Firepower Management Center CLIが有効になっている場合、Firepower Management Center CLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
   ・ FMCでv6.5+が実行されている場合、Firepower Management Center(FMC)CLIにアクセスできます。expertコマンドを入力して、Linuxシェルにアクセスします。
2. ドル記号($)が付いたシェルプロンプトで、次のコマンドを実行して管理者ユーザのCLIパスワードをリセットします。
   sudo passwd admin
3. Passwordプロンプトに対して、現在ログインしているユーザ名のパスワードを入力します。
4. パスワード入力を求めるプロンプトが表示されたら、新しい admin パスワードを入力します（2 回）。

注:「BAD PASSWORD」メッセージが表示されるのは情報提供だけを目的としています。入力したパスワードは、このメッセージが表示されても適用されます。とはいえ、セキュリティ上の理由から、より複雑なパスワードを設定することを推奨します。

1. ログインに何度も失敗したことが原因でadminアカウントがロックアウトされた場合は、アカウントのロックを解除してpam_tallyコマンドを実行し、プロンプトが表示されたらパスワードを入力する必要があります。
   sudo pam_tally —user – リセット
2. exitと入力してシェルを終了します。
3. CLIが有効なFirepower Management Center(FMC)で、exitと入力してCLIを終了します。

Firepower Management Centerの失われたWebインターフェイス管理者パスワードのリセット

Firepower Management Center(FMC)Webインターフェイスへのアクセスに使用する管理者アカウントのパスワードを変更するには、次の手順を使用します。

手順：

1. SSHまたはコンソールでCLI管理アカウントを使用してアプライアンスにログインします。
2. Linuxシェルにアクセスします。
   ・ FMCが6.2以下を実行している場合、ログインするとLinuxシェルに直接アクセスできます。
   ・ FMCが6.3または6.4を実行していて、Firepower Management Center(FMC)CLIが有効になっていない場合、ログインするとLinuxシェルに直接アクセスできます。
   ・ FMCが6.3または6.4を実行していて、Firepower Management Center CLIが有効になっている場合、ロギングによってFirepower Management Center CLIへのアクセスが提供されます。expertコマンドを実行して、Linuxシェルにアクセスします。
   ・ FMCで6.5以降を実行している場合、ログインするとFirepower Management Center(FMC)のCLIにアクセスできます。expertコマンドを実行して、Linuxシェルにアクセスします。
3. シェルプロンプトで、次のコマンドを実行して、Webインターフェイスの管理者ユーザのパスワードをリセットします。
   sudo usertool.pl -p 'admin password'
   ここで、passwordは、Webインターフェイスの管理者ユーザの新しいパスワードです。
4. Passwordプロンプトで、現在ログインしているユーザ名のパスワードを入力します。
5. ログイン試行の失敗回数が多すぎたためにWeb管理者アカウントがロックアウトされた場合は、アカウントのロックを解除する必要があります。usertoolコマンドを実行し、プロンプトが表示されたらCLI管理パスワードを入力します。
   sudo usertool.pl -u admin
6. exitと入力してシェルを終了します。
7. CLIが有効なFirepower Management Center(FMC)で、exitと入力してCLIを終了します。

更新履歴

改定	発行日	コメント
4.0	15-Jun-2026	概要、スペル、文法、文の構造、スペース、代替テキストが更新されました。
3.0	17-Mar-2023	シスコの現行の公表基準に準拠するように改訂されました。
2.0	18-Jan-2022	アドレスCSCvp96865 – ログイン試行の失敗回数が多すぎるためにadminアカウントがロックアウトされている場合は、アカウントのロックを解除する必要があります。
1.0	27-Oct-2014	初版