문제
firepower 4100/9300 어플라이언스의 FXOS에 대한 로컬 관리자 비밀번호를 알 수 없으므로 관리자 액세스 권한을 다시 얻으려면 재설정해야 합니다.
모든 기존 TACACS 사용자에게는 읽기 전용 역할만 할당되었으며, 이로 인해 FXOS 섀시에서 관리 작업을 수행할 수 없습니다.
참고: 원격으로 인증된 사용자 계정(LDAP, RADIUS, TACACS+, SSO)에는 기본적으로 읽기 전용 역할이 할당됩니다.
환경
- ASA/FTD를 실행하는 Cisco Firepower 4100/9300
- FXOS 기본 인증은 원격(Cisco ISE)으로 설정되며 로컬 인증은 대안으로 구성됩니다.
해결
관리 TACACS 사용자 생성
Cisco ISE(또는 TACACS 서버)에서 새 TACACS 사용자(예: fxosadmin)를 생성하고 Cisco 설명서에 설명된 대로 관리 권한을 할당합니다.
TACACS+를 사용하는 ISE를 사용한 원격 관리를 위한 FXOS 섀시 인증/권한 부여.
- ID 그룹 및 사용자 생성
- 각 사용자 역할에 대한 셸 프로필을 만듭니다('admin' 역할의 경우 cisco-av-pair=shell:roles="admin" 사용).
- TACACS 권한 부여 정책 생성
새 TACACS 관리자 사용자를 사용하여 로그인
새로 생성된 fxosadmin 계정을 사용하여 FXOS GUI 및 CLI에 로그인합니다. 이제 이 계정에는 모든 관리 권한이 있습니다.
로컬 관리자 비밀번호 재설정
FXOS CLI에 액세스하여 다음 명령을 실행합니다.
FP4100# scope security
FP4100 /security # show local-user
User Name First Name Last name
--------------- --------------- ---------
admin
FP4100 /security # enter local-user admin
FP4100 /security/local-user # set password
Enter a password:
Confirm the password:
FP4100 /security/local-user* # commit-buffer
FP4100 /security/local-user #
참고 사항 및 고려 사항
- 원격 인증(TACACS, RADIUS, LDAP, SSO)이 기본 방법인 경우, 원격 인증을 사용할 수 없는 경우가 아니면 로컬 사용자 계정으로 방화벽 섀시 관리자에 로그인할 수 없습니다.
- 원격 인증이 활성 상태일 때는 로컬 및 원격 사용자 계정을 번갈아 사용할 수 없습니다.
- 시나리오에서 콘솔 포트 인증 방법이 'LOCAL'로 설정된 경우 새 관리자 자격 증명을 확인할 수 있습니다. 그렇지 않으면 원격 인증 서버 연결을 종료하여 관리자 자격 증명을 테스트해야 합니다.
원인
- FXOS 섀시의 로컬 관리자 비밀번호가 손실되었거나 알 수 없어 로컬 계정을 사용하여 직접 관리자 액세스를 할 수 없습니다.
- 모든 기존 TACACS 사용자 계정은 읽기 전용 권한으로 구성되었으며, 이로 인해 원격 액세스에서 섀시 재부팅, 업그레이드, FXOS 백업과 같은 필요한 관리 작업을 수행할 수 있는 기능이 제한되었습니다.
- 이러한 상황으로 인해 추가 변경 또는 트러블슈팅이 필요한 경우 디바이스를 관리하거나 복구할 수 없는 위험이 발생했습니다.
- 이를 위해 계획된 유지 보수 작업을 진행하기 위해 관리자 비밀번호를 재설정해야 했습니다.
관련 콘텐츠
피드백