重置Firepower系统上管理员用户的密码

千瓦时

简介

本文档介绍在Firepower系统上重置管理员帐户密码的说明步骤。

背景信息

Firepower管理中心(FMC)为命令行界面(CLI)/外壳访问和Web界面访问（如果可用）提供不同的管理员帐户（使用单独的密码）。受管设备(例如Firepower和自适应安全设备(ASA)Firepower服务设备)上的管理员帐户对于CLI访问、外壳访问和Web界面访问（如果可用）是相同的。 

这些说明引用了Firepower管理中心。

注意：对Firepower管理中心CLI的引用仅适用于版本6.3+。版本6.4支持7000和8000系列设备。

Firepower威胁防御：重置管理员密码

要重置Firepower 9300和4100平台上Firepower威胁防御(FTD)逻辑设备的丢失管理员密码，请执行通过FXOS机箱管理器更改或恢复FTD密码指南中的说明。

对于在Firepower 1000/2100/3100上运行的FTD设备，必须重新映像该设备。有关这些平台上的重新映像过程，请参阅运行Firepower威胁防御的Firepower 1000/2100系列的Cisco FXOS故障排除指南。

对于ASA 5500-X和集成安全设备(ISA)3000型号上运行的FTD设备，必须重新映像设备。有关说明，请参阅《Cisco ASA和Firepower威胁防御设备重新映像指南》。

对于虚拟FTD设备，您必须使用新部署替换设备。

重新映像物理设备会清除其配置，并将管理员密码重置为 Admin123.

除了在Amazon Web Services(AWS)上使用Firepower 7.0+的FTDv，新的FTDv部署没有配置，管理员密码为 Admin123.对于在AWS上使用Firepower 7.0+的FTD，新部署没有配置，也没有默认密码；您在部署时提供管理员密码。

• 如果重新映像使用 Firepower 设备管理器管理的 FTD 设备，有以下选项可供选择：
  • 如果您有最近外部存储的备份，则可以在重新映像后恢复备份配置。有关详细信息，请参阅适用于Firepower设备管理器的思科Firepower威胁防御配置指南，了解您的版本。
  • 如果没有备份，您必须手动重新创建设备配置，包括接口、路由策略以及DHCP和动态域名系统(DDNS)设置。
• 如果重新映像由Firepower管理中心管理的FTD设备，以及FMC和运行版本6.3+的设备，则可以在重新映像之前使用FMC Web界面备份设备配置，并在重新映像之后恢复备份。有关详细信息，请参阅版本的《Firepower管理中心配置指南》。
  

  注：如果运行版本6.0.1-6.2.3，则无法备份FTD配置。如果运行版本6.3.0 - 6.6.0，则FTD容器实例不支持从FMC Web界面进行备份和恢复。虽然可以在重新映像后从Firepower管理中心应用共享策略，但必须手动配置任何特定于设备的设置，例如接口、路由策略以及DHCP和DDNS设置。

ASA Firepower服务模块：重置管理员密码

您可以使用ASA常规操作CLI的会话命令重置ASA Firepower模块CLI的管理密码。如果丢失了ASA CLI的密码，则可以按照ASA版本的CLI手册1:Cisco ASA系列常规操作CLI配置指南中所述恢复这些密码。

在ASA 5512-X至ASA 5555-X和ASA 5506-X至ASA 5516-X（软件ASA Firepower模块）和ISA 3000设备上重置管理员密码

要将ASA Firepower软件模块或ISA 3000设备的管理员用户重置为默认密码，请在ASA提示符下输入以下命令：

session sfr do password-reset

有关详细信息，请参阅ASA版本的Cisco ASA系列CLI手册2:Cisco ASA系列防火墙CLI配置指南。

重置ASA 5585-X系列设备（硬件ASA Firepower模块）上的管理员密码

要将 ASA FirePOWER 硬件模块的 admin 用户重置为默认密码，请在 ASA 提示符下输入以下命令：

session 1 do password-reset

有关详细信息，请参阅ASA版本的Cisco ASA系列CLI手册2:Cisco ASA系列防火墙CLI配置指南。

更改FMC和NGIPSv的CLI或外壳管理密码

使用以下说明重置这些管理员帐户的已知密码：

• Firepower管理中心：用于访问CLI或外壳的管理密码。
• 下一代信息保留系统虚拟(NGIPSv：用于访问CLI的管理员密码。

 步骤:

1. 通过SSH或控制台登录设备管理员帐户。
   
   • 对于Firepower管理中心：
     • 如果您的Firepower管理中心运行Firepower 6.2版或更低版本，则登录会让您直接访问Linux外壳。
     • 如果您的Firepower管理中心运行Firepower版本6.3或6.4，并且Firepower管理中心CLI未启用，则登录可让您直接访问Linux外壳。
     • 如果您的Firepower管理中心运行Firepower版本6.3或6.4，并且启用了Firepower管理CLI，则通过登录可以访问Firepower管理中心CLI。输入expert命令访问Linux shell。
     • 如果您的Firepower管理中心运行Firepower版本6.5+，则通过登录可以访问Firepower管理中心CLI。输入expert命令访问Linux shell。
   • 对于受管设备，通过登录可以访问设备CLI。输入expert命令访问Linux shell。
2. 在shell提示符下，输入以下命令： sudo passwd admin.
3. 出现提示时，输入当前 admin 密码以将权限提升为根访问权限。
4. 为响应提示，输入两次新的管理密码。
   

   注：如果系统显示 BAD PASSWORD 消息，此消息仅供参考。即使出现此消息，系统也会应用您提供的密码。但出于安全考虑，思科建议您使用更复杂的密码。

5. 类型 exit 退出外壳。
6. 在受管设备或启用CLI的Firepower管理中心上，键入 exit 退出CLI。

更改FMC的Web界面管理员密码或7000和8000系列设备的Web界面管理员和CLI管理员密码

使用以下说明重置这些管理员帐户的已知密码：

• Firepower管理中心：用于访问Web界面的管理员密码。
• 7000和8000系列设备：用于访问Web界面和CLI的管理密码。

步骤:

1. 以具有管理员访问权限的用户身份登录设备的网络界面。
2. 选择 System > Users 并点击 Edit 管理员用户的图标。
3. 输入值 Password 和 Confirm Password 字段。
   值必须相同，并且必须与为用户设置的密码选项一致。
4. 点击 Save.

为FMC或NGIPSv重置丢失的CLI或外壳管理密码，或为7000和8000系列设备重置丢失的Web界面或CLI密码

使用以下说明重置这些管理员帐户的丢失密码：

• Firepower管理中心：用于访问CLI或外壳的管理密码。
• 7000和8000系列设备：用于访问Web界面和CLI的管理密码。
• NGIPSv：用于访问CLI的管理员密码。

注意：要重置这些管理员帐户的丢失密码，您需要与设备建立控制台或SSH连接（如果配置了外部用户的Firepower管理中心，您可以使用SSH连接）。您还需要重新启动已丢失其管理凭证的设备。您可以根据可用的设备访问类型以不同方式启动重启：
·对于Firepower管理中心，您需要具有管理员访问权限的Web界面用户的登录凭证，或者需要具有CLI/外壳访问权限的外部身份验证用户的登录凭证。
·对于7000或8000系列设备，您需要登录凭据才能获得以下访问方式之一：具有管理员访问权限的Web界面用户、具有配置访问权限的CLI用户，或在托管Firepower管理中心具有管理员访问权限的用户。
·对于NGIPSv，您需要登录具有配置访问权限的CLI用户或具有托管Firepower管理中心管理员访问权限的用户。
·对于Firepower管理中心、7000和8000系列设备以及NGIPSv设备，如果您有控制台连接（物理或远程），则无需登录凭证即可执行此任务。
如果无法使用上述方法之一访问设备，则无法使用以下说明重置管理员密码；请联系思科TAC。

第 1 项.安全重新启动设备并在启动时进入单用户模式以重置密码

1. 为丢失 admin 密码的设备打开与设备控制台的连接：
   ·对于7000系列设备、8000系列设备和Firepower管理中心，请使用键盘/显示器或串行连接。
   ·对于虚拟设备，请使用虚拟平台提供的控制台。有关详细信息，请参阅Cisco Firepower管理中心虚拟入门指南或适用于VMware的Cisco Firepower NGIPSv快速入门指南。
   ·或者，对于Firepower管理中心、7000和8000系列以及虚拟设备，如果您使用远程键盘视频/鼠标(KVM)与设备建立了控制台连接，则可以访问该界面。
2. 重启已丢失其 admin 密码的设备。您有以下选择：
   ·对于Firepower管理中心：
   A. 以具有管理员访问权限的用户身份登录 Firepower 管理中心的 Web 界面。
   B. 按照适用于您所用版本的《Firepower 管理中心配置指南》中的说明重启 Firepower 管理中心。
   
   ·对于7000或8000系列设备或NGIPSv，如果您拥有在托管Firepower管理中心具有管理员访问权限的Web界面用户的凭证：
   a.以具有管理员访问权限的用户身份登录托管Firepower管理中心的Web界面。
   B. 按照适用于您所用版本的《Firepower 管理中心配置指南》中的说明关闭并重启受管设备。 
   
   ·对于7000或8000系列设备，如果您拥有具有管理员访问权限的Web界面用户的凭证：
   A. 以具有管理员访问权限的用户身份登录设备的 Web 界面。
   B. 按照适用于您所用版本的《Firepower 管理中心配置指南》中的说明重启设备。
   
   ·对于7000或8000系列设备或NGIPSv，如果您拥有具有配置访问权限的CLI用户的凭证：
   a.通过具有CLI配置访问权限的用户名通过外壳登录到设备。
   B. 在提示符下，输入 system reboot 命令。
   
   

   ·对于Firepower管理中心、7000和8000系列以及带控制台的虚拟设备，请按 CTRL-ALT-DEL.(如果使用远程KVM，则KVM界面提供发送方式 CTRL-ALT-DEL 不干扰KVM本身。)

注：当您重新启动Firepower管理中心或受管设备时，这会将您从设备注销，并且系统会运行数据库检查，完成检查最多可能需要一个小时。

注意：请勿使用电源按钮关闭设备或拔下电源线；否则可能会损坏系统数据库。使用Web界面完全关闭设备。

3.在设备控制台显示时，观察重新启动过程并根据重新启动的设备类型继续操作：

注：如果系统正在进行数据库检查，您可以看到以下消息： The system is not operational yet. Checking and repairing the database is in progress. This may take a long time to finish.

·对于型号750、1500、2000、3500或4000的Firepower管理中心，或者对于Firepower 7000或8000系列设备或NGIPSv，中断重新启动过程：
  A. 设备开始启动后，按键盘上的任意键取消 LILO 启动菜单中的倒计时。
  B. 记下 LILO 启动菜单中显示的版本号。在本示例中，版本号为6.2.0。

c.在boot：提示符下，键入命令version single，其中version是版本号（例如6.2.0 single）。如果系统启用了United Capabilities Approved Products List(UCAPL)compliance，系统会提示您输入密码；请输入密码 Sourcefire.

·对于Firepower管理中心型号1000、1600、2500、2600、4500或4600:
  当启动菜单出现时，选择 Option 4, Cisco Firepower Management Console Password Restore Mode.
 

4.分配新的管理员密码；使用适用于您的设备的说明：
     ·对于Firepower管理中心或NGIPSv的新CLI和外壳管理密码：

a.当系统显示以井号(#)结尾的操作系统提示符时，请输入以下命令：
     passwd admin

b.当系统提示时，输入新的管理员密码（两次）。

注：如果系统显示 BAD PASSWORD 消息，此消息仅供参考。即使出现此消息，系统也会应用您提供的密码。但是，出于安全原因，建议您使用更复杂的密码。

    ·对于7000和8000系列设备的新Web和CLI管理员密码：

在操作系统提示符后以井号(#)结束，输入以下命令：

   usertool.pl -p 'admin password'

其中密码是新的管理员密码。

5.如果管理员帐户由于登录尝试失败次数过多而被锁定，您必须解锁该帐户。使用适用于您的设备的说明：

·要在Firepower管理中心或NGIPSv上解锁CLI和外壳管理帐户，请在操作系统提示符后输入以下命令，以井号(#)结尾：

   pam_tally --user admin --reset

·要解锁7000和8000系列设备上的Web和CLI管理员帐户，请在操作系统提示符后输入此命令，以井号(#)结尾：

  usertool.pl -u admin

6.在操作系统提示符(以井号(#)结尾)处输入 reboot 命令。

7.允许重新启动过程完成。

第 2 项.使用外部身份验证获得对CLI的访问权以重置Firepower管理中心的密码

如果您仍然可以使用具有管理员访问权限的帐户访问FMC Web界面，则可以使用 External Authentication 用于访问CLI的功能。此方法允许您登录FMC的CLI、访问Linux外壳、提升到根并手动重置CLI/外壳管理员密码。此选项不需要重启或访问控制台。此选项要求您在Firepower管理中心上正确配置了外部身份验证（使用SSH访问），并且要重置其管理员密码。(有关说明，请参阅Firepower管理中心配置指南。) 配置完成后，请执行以下步骤：

1. 使用外部身份验证的帐户登录Firepower管理中心，该帐户使用SSH或控制台具有CLI/外壳访问权限：
   ·如果您的FMC运行版本6.2或更低版本，则您可以直接访问Linux shell。
   ·如果您的FMC运行版本6.3或6.4，并且FMC CLI未启用，则您可以直接访问Linux外壳。
   ·如果您的FMC运行版本6.3或6.4，并且启用了Firepower管理中心CLI，则您可以访问Firepower管理中心CLI。输入 expert 命令访问Linux外壳。
   ·如果您的FMC运行版本6.5+，则您可以访问Firepower管理中心CLI。输入 expert 命令访问Linux外壳。
2. 在带美元符号($)的shell提示符下，输入以下命令以重置管理员用户的CLI密码：
   sudo passwd admin
3. 同时， Password 提示符下，输入您当前登录所使用的用户名对应的密码。
4. 在提示时输入新的管理员密码（两次）。
   

   注意：如果系统显示BAD PASSWORD消息，则此信息仅供参考。即使出现此消息，系统也会应用您提供的密码。但出于安全考虑，思科建议您使用更复杂的密码。

5. 如果admin帐户由于登录尝试失败次数过多而被锁定，则必须解锁该帐户，运行 pam_tally 命令，并在出现提示时输入密码：
   sudo pam_tally --user --reset
6. 类型 exit 退出外壳。
7. 在启用了CLI的Firepower管理中心上，键入 exit  退出CLI。

重置Firepower管理中心丢失的Web界面管理员密码

按照以下说明更改用于访问Firepower管理中心Web界面的管理员帐户的密码。

步骤:

1. 使用CLI管理员帐户和SSH或控制台登录设备。
2. 访问Linux shell:
   ·如果您的FMC运行版本6.2或更低版本，则登录使您可以直接访问Linux外壳。
   ·如果您的FMC运行版本6.3或6.4，并且Firepower管理中心CLI未启用，则登录可让您直接访问Linux外壳。
   ·如果您的FMC运行版本6.3或6.4，并且启用了Firepower管理中心CLI，则通过登录可以访问Firepower管理中心CLI。输入 expert 命令访问Linux外壳。
   ·如果您的FMC运行版本6.5+，登录会让您访问Firepower管理中心CLI。输入 expert 命令访问Linux外壳。
3. 在shell提示符下，输入以下命令以重置Web界面管理员用户的密码：
   sudo usertool.pl -p 'admin password'
   其中password是Web界面管理员用户的新密码。
4. 同时， Password 提示符下，输入您当前登录所使用的用户名对应的密码。
5. 如果Web管理员帐户因登录尝试失败次数过多而被锁定，则必须解锁该帐户。运行 usertool 命令，请在出现提示时输入您的CLI管理员密码：
   sudo usertool.pl -u admin
6. 类型 exit 退出外壳。
7. 在启用了CLI的Firepower管理中心上，键入 exit 退出CLI。