Recuperação de senha de usuário local do Firepower 4100/9300 FXOS via acesso administrativo TACACS

Problema

A senha do administrador local para FXOS nos dispositivos Firepower 4100/9300 era desconhecida e precisava ser redefinida para recuperar o acesso administrativo.

Todos os usuários TACACS existentes receberam apenas a função Somente Leitura, o que os impediu de executar tarefas administrativas no chassi FXOS.

Observação: as contas de usuário autenticadas remotamente (LDAP, RADIUS, TACACS+, SSO) são atribuídas à função Somente leitura por padrão.

Ambiente

• Cisco Firepower 4100/9300 executando ASA/FTD
• Autenticação padrão FXOS definida como remota (Cisco ISE); autenticação local configurada como fallback.

Resolução

Criar um usuário TACACS administrativo

No Cisco ISE (ou no seu servidor TACACS), crie um novo usuário TACACS (por exemplo, fxosadmin) e atribua privilégios administrativos conforme descrito na documentação da Cisco:

Autenticação/autorização de chassi FXOS para gerenciamento remoto com ISE usando TACACS+.

1. Criar os grupos de Identidade e Usuários
2. Crie o perfil Shell para cada função de usuário (para a função 'admin', use cisco-av-pair=shell:roles="admin")
3. Criar a política de autorização TACACS

Faça login usando o novo usuário administrador TACACS

Use a conta fxosadmin recém-criada para fazer logon na GUI e na CLI do FXOS. Essa conta agora tem privilégios administrativos completos.

Redefinir a senha do administrador local

Acesse a CLI do FXOS e execute estes comandos:

     FP4100# scope security
     FP4100 /security # show local-user
     User Name       First Name      Last name
     --------------- --------------- ---------
     admin
     FP4100 /security # enter local-user admin
     FP4100 /security/local-user # set password
     Enter a password:
     Confirm the password:
     FP4100 /security/local-user* # commit-buffer
     FP4100 /security/local-user #

Notas e considerações

• Quando a autenticação remota (TACACS, RADIUS, LDAP, SSO) é o método padrão, você não pode fazer login no Gerenciador de chassi do firewall com uma conta de usuário local, a menos que a autenticação remota não esteja disponível.
• As contas de usuário locais e remotas não podem ser usadas indistintamente quando a autenticação remota está ativa.
• No cenário, se o método de autenticação da porta de console for definido como 'LOCAL', ele permitirá a verificação das novas credenciais de administrador; caso contrário, você precisará desativar a conectividade do servidor de autenticação remota para testar as credenciais de administrador.

Causa

• A senha do administrador local para o chassi FXOS foi perdida ou desconhecida, impedindo o acesso administrativo direto usando a conta local.
• Todas as contas de usuário TACACS existentes foram configuradas com privilégios somente leitura, o que restringia a capacidade de executar tarefas administrativas necessárias, como reinicialização de chassi, atualizações, backup FXOS, a partir do acesso remoto.
• A situação criava um risco de ser incapaz de gerenciar ou recuperar o dispositivo se fossem necessárias mais alterações ou solução de problemas.
• Isso exigiu uma redefinição de senha de administrador para continuar com as atividades de manutenção planejadas.

Conteúdo relacionado

• Gerenciamento de usuário FXOS
• Procedimento De Recuperação De Senha Para Dispositivos Firepower 9300/4100 Series