簡介
本文檔介紹如何解鎖和/或重置磁懸浮使用者的密碼。
背景資訊
在磁懸浮賬戶被鎖定的情況下,您不能登入以解鎖該賬戶。要解鎖和/或重置磁懸浮使用者的密碼,您必須將映像安裝到Cisco IMC vKVM。這允許您訪問外殼並重置使用者和/或密碼。
必要條件
需求
採用元件
此操作在Ubuntu 20.04映像上運行;不同的映像會生成不同的時間和結果。
在某些環境中可以看到,到達Ubuntu案頭需要長達2小時。
此操作不嚴格限於Ubuntu案頭版本。只需要訪問外殼即可。任何提供shell訪問的Ubuntu映像都可用於此操作。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
附註:可以在DR環境中使用相同的過程。但是,請注意以下幾點:
***嘗試任何密碼恢復/重置方法之前,請確保災難恢復處於「暫停」狀***
在1+1+1 DR部署中,當此過程完成時,相應的站點處於關閉狀態。
在3+3+3中,如果要在所有三個節點上更新您的密碼,請一次使用一個節點,以確保其他兩個節點都可用,以避免不必要的DR故障切換。
第1步:從Live CD啟動
登入到Cisco IMC GUI,選擇Launch KVM,然後選擇Virtual Media > Activate Devices。
接下來,選擇Map CD/DVD。
然後,選擇Browse,然後選擇您下載到本地系統的Ubuntu ISO映像。選擇Ubuntu映像後,選擇Map Drive按鈕。
然後使用Power > Reset System(熱啟動)對裝置重新通電。
系統重新啟動後,出現Cisco徽標時按F6。希望看到「Entering Boot Menu ...(正在進入引導選單……)」資訊。
當啟動選單彈出時,選擇顯示Cisco vKVM對映vDVD1.24的選項。這會導致裝置從之前選擇的對映Ubuntu映像啟動。
***註:螢幕截圖說明了訪問Ubuntu案頭所需的時間。***
系統開始初始化時,您會看到Ubuntu的載入螢幕大部分是空白的。
之後,螢幕會改變,顯示帶有Ubuntu徽標的輪子。(此過渡可能需要30分鐘)。
螢幕顯示消息「正在檢查磁碟:已完成0%」後,您需要取消此任務按Ctrl+C取消磁碟檢查。
跳過了磁碟檢查後,您會移迴旋轉輪。然後你得到一個只有Ubuntu標誌的空白視窗。(這可能需要另外30至45分鐘的時間才能完成)。
當系統開始啟動Ubuntu以供使用時,您最終會開始看到一些消息。請注意,應為失敗消息。此視窗最多保留20分鐘。之後,視窗會返回一個空白螢幕。再過10到20分鐘,您就會看到游標出現。Ubuntu GUI稍後載入。
***提醒:在某些環境中,通常需要2小時才能達到這一步***
第2步:裝載所需分割槽
訪問Ubuntu案頭GUI環境後,您需要開啟終端應用程式並執行這些步驟
- 建立臨時裝載點。
- 將根分割槽和var分割槽裝載到系統中。
- 將偽檔案系統裝載到臨時裝載點。
首先使用命令建立臨時裝載點:
sudo mkdir /altsys
接下來找到要裝載的根分割槽和var分割槽。您可以使用lsblk -fm命令查詢要為「/」(根)和「/var」裝入的分割槽。
$ lsblk -fm
NAME FSTYPE LABEL UUID MOUNTPOINT SIZE OWNER GROUP MODE
sda 446.1G root disk brw-rw----
|-sda1 1M root disk brw-rw----
|-sda2 ext4 install1 1cac7f26-3b8b-43dd-838c-9970000cef3e 28.6G root disk brw-rw----
|-sda3 vfat 52E8-2653 239M root disk brw-rw----
|-sda4 ext4 var 0f0e3643-d4eb-46e8-af9f-756906c5f04a 9 .5G root disk brw-rw----
|-sda5 swap 221b2f64-5a44-404f-b47d-8489fec47598 30.5G root disk brw-rw----
|-sda6 ext4 data 8aff5ec4-924f-42f9-9ca0-705e5807859a 348.8G root disk brw-rw----
|-sda7 ext4 a0e853e9-b2d6-4099-ac77-2f322c2a3a26 28.4G root disk brw-rw----
sdb 1.8T root disk brw-rw----
|-sdb1 ext4 9b5c4182-9e9d-4e8a-baf6-8a88232f8bcd 426.1G root disk brw-rw----
|-sdb2 ext4 e918dda6-133b-44ee-b005-5e9707088198 1.3T root disk brw-rw----
sdc 5.2T root disk brw-rw----
|-sdc1 ext4 bea4d6d5-7750-4bac-b724-f18867e2029c 5.2T root disk brw-rw----
***請注意,輸出中的「install1」是root"/",而「var」是「/var」。***
記下mount命令的分割槽。如果您沒有看到標籤,則:
- 對於 /var:根據裝置配置檔案,查詢9.5G或168GB分割槽
- /:28.66GB或47.7GB。請注意,存在/install-artifacts,大小類似28.46 GB。
一旦確定了var和根分割槽裝載它們:
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions
sudo mount /dev/sda4 /altsys/var # use the disk with up to 5 or 6 partitions
裝載root和var後,裝載psuedo檔案系統:
sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev /altsys/dev
sudo mount --bind /sys /altsys/sys
在更改密碼或解鎖磁懸浮賬戶之前的最後一步是更改為臨時安裝環境:
sudo chroot /altsys
使用案例1:解鎖磁懸浮帳戶
第1步:驗證磁懸浮使用者是否已解鎖
grep maglev /etc/shadow
maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
檢查密碼雜湊前面是否有感歎號。如果存在,則表示帳戶已鎖定。鍵入命令以解鎖使用者:
使用以下命令解除磁懸浮使用者的鎖定:
usermod -U maglev
第2步:重置失敗計數
如果使用者在/etc/shadow檔案中的雜湊前面沒有升級標籤,則已超過登入失敗限制。請使用以下步驟重置失敗的登入嘗試。
查詢磁懸浮使用者的失敗登入嘗試:
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 454 11/25/20 20:24:05 x.x.x.x
如圖所示,登入嘗試次數大於預設的6次。 這拒絕該使用者登入直到故障計數下降到小於六(6)的能力。您可以使用以下命令重設登入失敗計數:
sudo pam_tally2 -r -u maglev
您可以確認計數器已重置:
sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 0
使用案例2:重置磁懸浮使用者密碼
第1步:重置磁懸浮使用者密碼
# passwd maglev
Enter new UNIX password: #Enter in the desired password
Retype new UNIX password: #Re-enter the same password previously applied
Password has been already used.
passwd: password updated successfully #Indicates that the password was successfully changed
第2步:正常重新啟動到Cisco DNA Center環境
在KVM視窗中按一下Power,然後按一下Reset System(熱啟動)。這會導致系統重新啟動並使用RAID控制器啟動,從而啟動Cisco DNA Center軟體。
第3步:從Cisco DNA Center CLI更新Maglev使用者密碼
一旦Cisco DNA Center軟體啟動,並且您有權訪問CLI,您需要使用sudo maglev-config update 命令更改磁懸浮密碼。要確保變更在整個系統中生效,需要執行此步驟。
啟動配置嚮導後,您需要通過嚮導完全導航至螢幕,這樣我們就可以在第6步設定磁懸浮密碼。
為Linux Password 和Re-enter Linux Password 這兩個欄位設定密碼後,選擇next並完成嚮導。嚮導完成配置推送後,密碼已成功更改。您可以建立新的SSH會話,或在CLI中輸入命令sudo -i以測試密碼是否已更改。