重置Cisco Catalyst Center的Maglev使用者密碼

簡介

本文檔介紹如何解鎖和/或重置磁懸浮使用者的密碼。

背景資訊

在磁懸浮賬戶被鎖定的情況下，您不能登入以解鎖該賬戶。要解鎖和/或重置磁懸浮使用者的密碼，您必須將映像安裝到Cisco IMC vKVM。這允許您訪問外殼並重置使用者和/或密碼。

必要條件

內部部署（物理裝置）的要求

• 您需要從https://ubuntu.com/download/desktop下載用於Ubuntu 18.04或更新版本的ISO映像。我們建議使用18.04，因為它與Cisco Catalyst Center的版本相同。

• 將ISO下載到本地系統後，您需要將ISO安裝到思科整合管理控制器(CIMC)KVM中。
• 將ISO安裝到KVM後，您需要從ISO啟動。
• 一旦可以訪問Ubuntu，請將根目錄和var目錄裝載到系統。
• 在安裝了根目錄和var目錄之後，您可以解鎖並更改Maglev使用者帳戶。
• 最後，重新啟動裝置，確認可以使用磁懸浮登入，然後使用配置嚮導重置密碼。

虛擬裝置(ESXi)的要求

• 下載ISO
• 將ISO上傳到vSphere/vCenter中的資料儲存ISO檔案位置或內容庫
• 將CD/DVD ROM新增到VM（虛擬機器）
• 將啟動延遲更改為更大的值

採用元件

此操作在Ubuntu 18.04映像上運行；不同的影象會產生不同的時間和結果。 

在某些環境中可能會看到到達Ubuntu案頭需要最多2小時，但是對於大多數客戶來說，此過程在30分鐘內完成。

此操作不嚴格限於Ubuntu案頭版本。只需要訪問外殼即可。任何提供shell訪問的Ubuntu映像都可用於此操作。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

附註：可以在DR環境中使用相同的過程。但是，請注意以下幾點：

***嘗試任何密碼恢復/重置方法之前，請確保災難恢復處於「暫停」狀***

在1+1+1 DR部署中，當此過程完成時，相應的站點處於關閉狀態。

在3+3+3中，如果要在所有三個節點上更新您的密碼，請一次使用一個節點，以確保其他兩個節點都可用，以避免不必要的DR故障切換。

第1a步：從Live CD啟動（本地）

登入到Cisco IMC GUI，選擇Launch KVM，然後選擇Virtual Media > Activate Devices。

接下來，選擇Map CD/DVD。

然後，選擇Browse，然後選擇您下載到本地系統的Ubuntu ISO映像。選擇Ubuntu映像後，選擇Map Drive按鈕。

然後使用Power > Reset System（熱啟動）對裝置重新通電。

系統重新啟動後，出現Cisco徽標時按F6。  

它似乎沒有奏效，因為它進入了一個看上去與這個類似的螢幕：

但是會出現第二個螢幕，我們可以看到它正在進入引導選單。如果我們忘記在第一個Cisco螢幕上按F6，我們可以在此處按

當啟動選單彈出時，選擇顯示Cisco vKVM對映的vDVD1.24的選項。這將導致裝置從之前選擇的對映的Ubuntu映像啟動。

第1b步：從Live CD啟動(VA - ESXi)

在vCenter/vSphere中，導航至VM所在的位置，按一下右鍵該VM，然後按一下Edit Settings。從此處按一下ADD NEW DEVICE，然後選擇「CD/DVD Drive」。

CD/DVD驅動器現在在設定頁面中顯示為新CD/DVD驅動器。如果您已經將ISO上傳到Datastore ISO檔案，則為CD/DVD選擇該選項。否則，請選擇內容庫ISO檔案。

選擇要從中引導的ISO檔案。在此過程中，請使用Ubuntu 18.04 ISO。

接下來，確保啟用新CD/DVD驅動器右側的Connected框。 

按一下設定螢幕頂部的VM Options。然後按一下啟動選項的下箭頭，將啟動延遲的值更改為更大的值，例如10000。這將讓您有時間在重新啟動虛擬機器後看到進入啟動選單的選項。

接下來，重新啟動VM，以便您可以訪問引導選單以從ISO引導。

第2a步：載入到Ubuntu ISO

***附註：螢幕截圖顯示了到達Ubuntu案頭所需的時間。***

這是我們看到的第一個螢幕。似乎什麼也沒發生只是等待在本實驗中，我們將在此螢幕上40秒

之後，螢幕完全變黑了大約30秒，然後我們看到一個Ubuntu載入螢幕。我們在此螢幕上停留的時間略超過5分鐘，之後才開始進行部署，但時間因部署而異。

接下來，我們看到一個螢幕，可以提示出現了問題，但這是意料之中的。在實驗中，此螢幕會保持2分鐘後再繼續

螢幕回到黑屏約3分鐘，前一螢幕再次閃爍幾分鐘，然後又回到黑屏兩分鐘。

接下來，我們將提供選擇Live會話使用者的選項。如果系統向我們顯示「嘗試Ubuntu案頭」選項，請選擇該選項。歡迎此使用者繼續。

選擇使用者後，螢幕將再次變黑，然後才會顯示Ubuntu案頭。

***提醒：在某些環境中可以看到，最多需要2小時才能到達此點***

第2b步：裝載所需分割槽

訪問Ubuntu案頭GUI環境後，您需要開啟終端應用程式並執行這些步驟

• 建立臨時裝載點。
• 將根分割槽和var分割槽裝載到系統中。
• 將偽檔案系統裝載到臨時裝載點。

首先使用命令建立臨時裝載點：

sudo mkdir /altsys

接下來，我們需要找到要裝載的根分割槽和var分割槽。可以使用lsblk -fm命令查詢要為「/」（根）和「/var」裝載的分割槽。 記下我們為下一步的mount命令確定的分割槽

對於/var，請查詢9.5G或168G分割槽。在本例中我們可以看到它是sdb3

對於/(根)，請查詢28.66G 或47.7G 分割槽。在本例中，它是sda2

一旦確定了var和根分割槽裝載它們：

sudo mount /dev/sda2  /altsys   # use the disk with up to 5 or 6 partitions 
sudo mount /dev/sdb3 /altsys/var       # use the disk with up to 5 or 6 partitions 

裝載root和var後，裝載psuedo檔案系統：

sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev  /altsys/dev
sudo mount --bind /sys  /altsys/sys

在更改密碼或解鎖磁懸浮賬戶之前的最後一步是更改為臨時安裝環境：

sudo chroot /altsys

使用案例1:解鎖磁懸浮帳戶

步驟 1:驗證磁懸浮使用者是否已解鎖

grep maglev /etc/shadow

maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::

檢查密碼雜湊前面是否有感歎號。如果存在，則表示帳戶已鎖定。鍵入命令以解鎖使用者：

使用以下命令解除磁懸浮使用者的鎖定：

usermod -U maglev

步驟 2:重置失敗計數

如果使用者在/etc/shadow檔案中的雜湊前面沒有升級標籤，則已超過登入失敗限制。請使用以下步驟重置失敗的登入嘗試。

查詢磁懸浮使用者的失敗登入嘗試：

$ sudo pam_tally2 -u maglev

Login           Failures Latest failure     From
maglev              454    11/25/20 20:24:05  x.x.x.x

如此處所示，登入嘗試次數大於預設的6次嘗試。這樣使用者將無法登入，直到失敗計數下降到小於6(6)。 您可以使用以下命令重設登入失敗計數：

sudo pam_tally2 -r -u maglev

您可以確認計數器已重置：

sudo pam_tally2 -u maglev

Login           Failures Latest failure     From
maglev                0    

使用案例2:重置磁懸浮使用者密碼

步驟 1:重置磁懸浮使用者密碼

# passwd maglev

Enter new UNIX password:   #Enter in the desired password

Retype new UNIX password: #Re-enter the same password previously applied

Password has been already used.

passwd: password updated successfully  #Indicates that the password was successfully changed

步驟 2:正常重新啟動至Cisco DNA Center環境

在KVM視窗中按一下Power，然後按一下Reset System（熱啟動）。 這會導致系統重新啟動並使用RAID控制器啟動，從而啟動Cisco DNA Center軟體。

步驟 3:從Cisco DNA Center CLI更新Maglev使用者密碼

一旦Cisco DNA Center軟體啟動，並且您有權訪問CLI，您需要使用sudo maglev-config update 命令更改磁懸浮密碼。要確保變更在整個系統中生效，需要執行此步驟。

啟動配置嚮導後，您需要通過嚮導完全導航至螢幕，這樣我們就可以在第6步設定磁懸浮密碼。

為Linux Password 和Re-enter Linux Password 這兩個欄位設定密碼後，選擇next並完成嚮導。嚮導完成配置推送後，密碼已成功更改。您可以建立新的SSH會話，或在CLI中輸入命令sudo -i以測試密碼是否已更改。

逐步影片指南

請使用連結訪問為此工作流建立的逐步影片。

托馬斯·德萊昂和費薩爾·馬哈茂德提供的圖片