Administratorkennwort zurücksetzen und Administratorkonto entsperren

Einleitung

In diesem Dokument wird beschrieben, wie Sie das Kennwort Ihres verlorenen Administratorkontos für eine E-Mail Security Appliance, Security Management Appliance oder WSA zurücksetzen.

Hintergrundinformationen

Dieses Dokument gilt für hardwarebasierte und virtualisierungsbasierte AsyncOS-Appliances. Kennwörter werden für die Email Security Appliance (ESA), die Security Management Appliance (SMA) und die Web Security Appliance (WSA) zurückgesetzt.

Administratorkennwort zurücksetzen

Das Kennwort für das Admin-Konto einer Appliance kann nur über die serielle Konsole zurückgesetzt werden. Hierbei wird ein temporäres Kennwort verwendet, das das Cisco Technical Assistance Center (TAC) erstellen kann. Gehen Sie wie folgt vor, um das Administratorkennwort auf Ihrer Appliance zurückzusetzen:

1. Wenden Sie sich für ein temporäres Administratorkennwort an den Cisco Kundensupport.

   Anmerkung: Sie müssen die vollständige Seriennummer der Appliance in Ihren Anforderungs- oder Anfragenhinweisen angeben.

2. Wenn Sie das temporäre Admin-Kennwort erhalten:
   
   
   • Bei hardwarebasierten Geräten kann über eine serielle Direktverbindung auf die Einheit zugegriffen werden:
     
     

     Bits per second: 9600
     Data bits: 8
     Parity: None
     Stop bits: 1
     Flow control: Hardware

   • Bei virtuellen Appliances können Sie über die ESXi-Konsole oder eine andere virtuelle Host-Konsole auf die Appliance zugreifen.
     
     
3. Melden Sie sich als Benutzer an adminpassword.
   
   
   1. Geben Sie das temporäre Administratorkennwort ein, das Sie vom Cisco Kundensupporttechniker erhalten haben, und drücken Sie Return (Zurück).
      
      
   2. Geben Sie das neue Kennwort für den Admin-Benutzer ein.
      
      

      AsyncOS myesa.local (ttyv0)
      
      login: adminpassword
      Password:  <<
              
              
                >> 
              
      Last login: Fri Feb 6 20:45 from 192.168.0.01
      Copyright (c) 2001-2013, Cisco Systems, Inc.
      
      AsyncOS 8.5.6 for Cisco C370 build 092
      Welcome to the Cisco C370 Email Security Appliance
      Chaning local password for admin
      New Password:  <<
              
              
                >> 
              
      Retype New Password:  <<
              
              
                >> 
              
      
      AsyncOS myesa.local (ttyv0)
      
      login: admin
      Password:  <<
              
              
                >> 
              

Schritte zum Entsperren des Administratorbenutzerkontos

Das Administratorkonto kann nur über direkten physischen Zugriff auf die Appliance entsperrt werden. Nachdem Sie sich über das Reset-Admin-Konto an der Appliance angemeldet haben, stellen Sie sicher, dass der Admin-Benutzer nicht aufgrund von aufeinander folgenden Anmeldefehlern gesperrt wurde. Um dies zu bestätigen, geben Sie den folgenden userconfig Befehl in die CLI ein:

Anmerkung: Neuere Codeversionen, 12.x und höher, fordern Sie zur Eingabe eines vorhandenen Administratorrollenkennworts auf, um Änderungen an den Benutzern vorzunehmen.

> userconfig


Users:
1. admin - "Administrator" (admin) (locked)
2. dlpuser - "DLP User" (dlpeval)

External authentication: Disabled

Choose the operation you want to perform:
- NEW - Create a new account.
- EDIT - Modify an account.
- DELETE - Remove an account.
- POLICY - Change password and account policy settings.
- PASSWORD - Change the password for a user.
- ROLE - Create/modify user roles.
- STATUS - Change the account status.
- EXTERNAL - Configure external authentication.
- DLPTRACKING - Configure DLP tracking privileges.

Wenn der Admin-Benutzer gesperrt ist, wird er mit (gesperrt) markiert, wie in der Ausgabe gezeigt.

Anmerkung: Nur das Admin-Konto kann den Status für den Admin-Benutzer ändern. Der Admin-Benutzer kann von keinem anderen lokalen Benutzerkonto geändert werden, unabhängig von der Rolle des Kontos in der Appliance. Wie bereits erwähnt, muss dies ebenfalls über eine serielle/Konsolenverbindung erfolgen.

Die einzige andere Möglichkeit besteht darin, den Administrator durch den Cisco Kundensupport zur Freigabe aufzufordern. Dies setzt voraus, dass Sie über ein Konto mit einer Administratorrolle für die Appliance verfügen und sich mit diesem Konto bei der CLI oder der GUI anmelden können. Für diese Option ist außerdem ein offener Remote-Support-Tunnel zur Appliance erforderlich.

Um den Admin-Benutzer oder ein anderes Benutzerkonto im gesperrten Status zu entsperren, geben Sie den userconfig Befehl ein, und gehen Sie wie folgt vom Startmenü aus:

Anmerkung: In neueren Versionen von AsyncOS können Sie aufgefordert werden, Ihre Passphrase einzugeben, nachdem Sie den status Befehl eingegeben haben. Wenn Sie dazu aufgefordert werden, verwenden Sie das neue Kennwort, das Sie im vorherigen Schritt festgelegt haben.

[]> status

Enter the username or number to edit.
[]> 1

This account is locked due to consecutive log-in failures.

Do you want to make this account available? [N]> y

Account admin is now available.

Users:
1. admin - "Administrator" (admin)
2. dlpuser - "DLP User" (dlpeval)

Hinweis: Sie müssen die Appliance-Konfiguration nicht bestätigen, wenn Sie nur den Status für den Administrator-Benutzer ändern.

Zugehörige Informationen

• Cisco® Email Security Appliance − FAQ: Welche Zugriffsebenen sind in der Cisco® Email Security Appliance verfügbar?
• Cisco Email Security Appliance - Benutzerhandbücher
• Cisco Web Security Appliance - Benutzerhandbücher
• Cisco Security Management Appliance - Benutzerhandbücher
• Technischer Support und Dokumentation für Cisco Systeme