簡介
本文檔介紹如何解鎖和/或重置磁懸浮使用者的密碼。
背景資訊
在磁懸浮帳戶被鎖定的情況下,您無法登入以解鎖該帳戶。要解鎖和/或重置磁懸浮使用者的密碼,必須將映像裝載到Cisco IMC vKVM。這允許您訪問外殼並重置使用者和/或密碼。
必要條件
需求
採用元件
此操作在Ubuntu 20.04映像上運行;不同的映像會產生不同的時間和結果。
在某些環境中,到達Ubuntu案頭最多需要2個小時。
此操作不嚴格限於Ubuntu案頭版本。只需要訪問外殼。任何提供Shell存取的Ubuntu影像都適用於此作業。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
注意:您可以在DR環境中使用相同的程式。但是,請注意以下幾點:
***在嘗試任何密碼復原/重設方法之前,請確定災難回覆處於暫停狀態***
在1+1+1 DR部署中,當此過程完成時,相應的站點處於關閉狀態。
在3+3+3中,如果要更新所有三個節點上的密碼,請一次更新一個節點,以確保另外兩個節點可用,以避免不必要的DR故障切換。
步驟1:從Live CD啟動
登入到Cisco IMC GUI,選擇Launch KVM,然後選擇Virtual Media > Activate Devices。
然後,選擇Map CD/DVD。
之後,選擇Browse,然後選擇已下載到本地系統的Ubuntu ISO映像。選擇Ubuntu映像之後,請選擇Map Drive按鈕。
然後使用Power > Reset System (warm boot)重新啟動裝置。
在系統重啟之後,當Cisco徽標出現時按F6。預期會看到訊息「Entering Boot Menu ...」(進入開機功能表……)。
當啟動選單彈出時,請選擇顯示Cisco vKVM-Mapped vDVD1.24的選項。這會導致裝置從之前選擇的對映Ubuntu映像啟動。
***注意:螢幕截圖顯示了到達Ubuntu案頭所需的時間。***
您會看到Ubuntu的載入畫面,當系統開始初始化時,此畫面大部分是空白的。
之後,熒幕會變更為顯示Ubuntu圖志的滾輪。(此轉換最多可能需要30分鐘)。
螢幕顯示消息「Checking disks: 0% complete」後,您需要取消此任務,然後按Ctrl+C取消磁碟檢查。
跳過磁碟檢查後,您會移迴旋轉滾輪。然後您會看到一個只有Ubuntu標誌的空白窗口。(此過程可能需要30 ― 45分鐘的時間)。
當系統開始啟動Ubuntu以供使用時,您最終會看到一些訊息。請注意,應該會有失敗的訊息。此窗口最多保留20分鐘。之後,視窗會回到空白熒幕。再過10-20分鐘後,您會看到游標。Ubuntu GUI稍後載入。
***提示:在某些環境中,達到此點需要長達2小時的時間***
步驟2:裝載所需分割槽
一旦您訪問了Ubuntu案頭GUI環境,您需要打開終端應用程式並執行以下步驟
- 建立暫存掛載點。
- 將根和var分割槽掛載到系統。
- 將虛擬檔案系統裝載到臨時裝載點。
首先使用命令建立臨時裝載點:
sudo mkdir /altsys
然後尋找要掛載的根和var分割區。您可以使用lsblk -fm命令查詢要為「/」(根)和「/var」裝載的分割槽。
$ lsblk -fm
NAME FSTYPE LABEL UUID MOUNTPOINT SIZE OWNER GROUP MODE
sda 446.1G root disk brw-rw----
|-sda1 1M root disk brw-rw----
|-sda2 ext4 install1 1cac7f26-3b8b-43dd-838c-9970000cef3e 28.6G root disk brw-rw----
|-sda3 vfat 52E8-2653 239M root disk brw-rw----
|-sda4 ext4 var 0f0e3643-d4eb-46e8-af9f-756906c5f04a 9 .5G root disk brw-rw----
|-sda5 swap 221b2f64-5a44-404f-b47d-8489fec47598 30.5G root disk brw-rw----
|-sda6 ext4 data 8aff5ec4-924f-42f9-9ca0-705e5807859a 348.8G root disk brw-rw----
|-sda7 ext4 a0e853e9-b2d6-4099-ac77-2f322c2a3a26 28.4G root disk brw-rw----
sdb 1.8T root disk brw-rw----
|-sdb1 ext4 9b5c4182-9e9d-4e8a-baf6-8a88232f8bcd 426.1G root disk brw-rw----
|-sdb2 ext4 e918dda6-133b-44ee-b005-5e9707088198 1.3T root disk brw-rw----
sdc 5.2T root disk brw-rw----
|-sdc1 ext4 bea4d6d5-7750-4bac-b724-f18867e2029c 5.2T root disk brw-rw----
***請注意,輸出中的install1是根「/」,「var」是「/var」。***
記下用於裝載命令的分割槽。如果您看不到標籤,則:
- 對於/var:根據裝置配置檔案,查詢9.5G或168GB分割槽
- 對於/:28.66GB或47.7GB。請注意,存在大小類似28.46GB的/install-artifact。
一旦您確定了var和根分割槽掛載它們之後:
sudo mount /dev/sda2 /altsys # use the disk with up to 5 or 6 partitions
sudo mount /dev/sda4 /altsys/var # use the disk with up to 5 or 6 partitions
掛載root和var之後,請掛載psuedo檔案系統:
sudo mount --bind /proc /altsys/proc
sudo mount --bind /dev /altsys/dev
sudo mount --bind /sys /altsys/sys
在更改密碼或解鎖磁懸浮帳戶之前的最後一步是更改為臨時安裝環境:
sudo chroot /altsys
使用案例1:解鎖磁懸浮帳戶
第1步:驗證磁懸浮使用者已解鎖
grep maglev /etc/shadow
maglev:!$6$6jvRGoDihpcsr8Xl$RUFs.Lb.2AbbgvODfJsw4b2EnpSwiNUlwJ6NQIjEnvOtT5Svz4ePHZa4f0eUvLHl7VAFca46f2nHxqMWORYLm.:18176:0:99999:7:::
檢查密碼雜湊前面是否有驚歎號。如果存在,則表示該帳戶已鎖定。鍵入命令以解鎖使用者:
使用以下命令解鎖磁懸浮使用者:
usermod -U maglev
步驟2:重置失敗計數
如果使用者在/etc/shadow檔案的雜湊前面沒有提升標籤,則表示已超過登入失敗限制。請使用這些步驟重設失敗的登入嘗試。
查詢磁懸浮使用者的失敗登入嘗試:
$ sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 454 11/25/20 20:24:05 x.x.x.x
如圖所示,登入嘗試次數大於預設的6次。 這拒絕了該使用者登入直至故障計數下降到小於六(6)的能力。您可以使用以下命令重置登入失敗計數:
sudo pam_tally2 -r -u maglev
您可以確認計數器已重設:
sudo pam_tally2 -u maglev
Login Failures Latest failure From
maglev 0
使用案例2:重設磁懸浮使用者密碼
步驟1:重置磁懸浮使用者密碼
# passwd maglev
Enter new UNIX password: #Enter in the desired password
Retype new UNIX password: #Re-enter the same password previously applied
Password has been already used.
passwd: password updated successfully #Indicates that the password was successfully changed
第2步:正常重啟到Cisco DNA Center環境
在KVM窗口中按一下Power,然後按一下Reset System (warm boot)。這會導致系統重新啟動並使用RAID控制器啟動,以啟動Cisco DNA Center軟體。
第3步:從Cisco DNA Center CLI更新磁懸浮使用者密碼
一旦Cisco DNA中心軟體啟動,並且您可以訪問CLI,您就需要使用sudo maglev-config update命令更改磁懸浮密碼。為確保變更在整個系統中生效,必須執行此步驟。
啟動配置嚮導後,您需要完全透過嚮導導航到螢幕,以便我們在步驟6中設定磁懸浮密碼。
為欄位Linux Password和Re-enter Linux Password設定口令後,請選擇next並完成嚮導。嚮導完成配置推送後,密碼已成功更改。您可以建立新的SSH會話,或在CLI中輸入命令sudo -i以測試口令是否已更改。