ArubaOS-CX Switches: admin User Password Recovery

Password Recovery auf ArubaOS-CX Switches

Für die Authentifizierung von administrativen Benutzern an ArubaOS-CX Switches gibt es grundsätzlich zwei Möglichkeiten:

  • Lokale Benutzer, deren Passworte in verschlüsselter Form in der running-config hinterlegt sind, und
  • RADIUS/TACACS Authentifizierung, bei denen die Zugangsdaten auf einem entsprechenden Server liegen.

Wir schauen uns hier die erste Variante, also lokale Benutzer an und zeigen, wie ein verlorenes Passwort eines lokalen Administrators wiederhergestellt werden kann.

Im Werkszustand kommt der Switch mit einem Benutzer admin, der der ebenfalls vordefinierten Benutzergruppe Administrators zugeordnet ist. Wie die Namen schon ausdrücken, verfügen Benutzer dieser Gruppe über vollumfängliche Administrationsrechte auf dem Switch. Das initial leere Passwort des admin Users muss beim ersten login Vorgang geändert werden. Zusätzlich können weitere Administratoren mit dem folgenden Kommando angelegt werden:

 

switch(config)# user MEINNAME group administrators password plaintext MEINPASSWORT

Selbst wenn weitere Benutzer in der Gruppe Administrators angelegt werden, kann der Benutzer admin nicht gelöscht werden. Es gibt also immer einen lokalen admin User.

Was aber, wenn das Passwort für den admin User verlegt und vergessen wurde und auch kein weiterer, bekannter User mit Administrator Rechten zugänglich ist? In diesem Fall kann eine Wiederherstellung des admin Passworts über die Service OS Konsole erfolgen.

Service OS

Die ArubaOS-CX Switches verfügen über ein Rumpfbetriebssystem, das sogenannte Service OS. Das Service OS stellt Funktionen bereit, die außerhalb des CX Betriebssystems genutzt werden können, um Systemoperationen auszuführen. Hierzu zählt auch das Neusetzen des Passworts für den admin User.

Wir zeigen den Vorgang am Beispiel eines 6200F unter 10.12.1000.

Nach dem Kaltstart des Switches erscheint auf der Switch Konsole als erstes die Service OS Information sowie eine Wahlmöglichkeit unter drei Boot Profilen:

  ServiceOS Information:
    Version:          ML.01.12.0005
    Build Date:       2023-02-03 06:31:10 UTC
    Build ID:         ServiceOS:ML.01.12.0005:5b34ac1bc15e:202302030631
    SHA:              5b34ac1bc15e5c2ea41dc25ee17fdf1936acd01f

Boot Profiles:

0. Service OS Console
1. Primary Software Image [ML.10.12.1000]
2. Secondary Software Image [ML.10.12.1000]

Select profile(primary):

Das Zeitfenster für die Wahl des Bootprofils ist 5 Sekunden lang, wenn keine Eingabe erfolgt wird ansonsten das hinter "Select profile" angezeigt Default Boot Image gestartet.

Mit "0" kann man innerhalb von 5 Sekunden die Service OS Konsole starten.

Am "ServiceOS login:" Prompt muss der Benutzername "admin" eingegeben werden. Sofern die Passwortabfrage für den "admin" Account im Service OS nicht zuvor eingeschaltet wurde, kommt man dann direkt zum "SVOS>" Prompt. Es handelt sich also im ServiceOS um denselben "admin" Account wie unter CX, per default ist im ServiceOS aber die Passwortabfrage deaktiviert.

(C) Copyright 2017-2023 Hewlett Packard Enterprise Development LP

                      RESTRICTED RIGHTS LEGEND
Confidential computer software. Valid license from Hewlett Packard Enterprise
Development LP required for possession, use or copying. Consistent with FAR
12.211 and 12.212, Commercial Computer Software, Computer Software
Documentation, and Technical Data for Commercial Items are licensed to the
U.S. Government under vendor's standard commercial license.

To reboot without logging in, enter 'reboot' as the login user name.

ServiceOS login: admin
SVOS>

Mit dem "?" werden die möglichen Kommandos in diesem Modus angezeigt.

SVOS> ?
Available Commands:

                   ? - Display help screen
                  cd - Change the working directory
                 pwd - Print the current working directory
                help - Display help screen
allow-unsafe-updates - Allow non-failsafe updates for a limited amount of time
                boot - Boot a product image
        config-clear - Clears the startup-config
                diag - Run diagnostic commands
               erase - Securely erase storage devices on the management module
              format - Formats and partitions the primary storage device
            identify - Prints hardware identification information
                  ip - Sets the OOBM Port Network Configuration
               mount - Mount a storage device
            password - Set the admin account password
                ping - Send ICMP ECHO_REQUEST to network hosts (IPv4)
              reboot - Reboots the Management Module
         secure-mode - Set or retrieve the secure mode setting
                  sh - Launch support shell
              umount - Unmounts a storage device
              update - Update a product image
             version - Prints ServiceOS release version information
                 cat - Prints files to stdout
                  cp - Copy files and directories
                  du - Estimate file space usage
                  ls - List directory contents
              md5sum - Compute and check md5 message digest
               mkdir - Make directories
                  mv - Move (rename) files
                  rm - Remove files or directories
               rmdir - Remove empty directories
                tftp - Allows transfer of files to/from a remote machine
                exit - Logout

Enter '<command> --help' for more info

SVOS>

Das Kommando "password" kann dann verwendet werden, um das Passwort des "admin" Users unter CX setzen. Anschließend wird der Switch mit dem Kommando "boot" durchgestartet.

SVOS> password

Enter password: ************

Confirm password: ************

SVOS> boot

Die Alternative zum Setzen des admin-Passworts mit dem "password" Kommando ist ein Start in den Werkszustand, der ebenfalls aus dem Service OS ausgeführt werden kann. Das Kommando hierzu heißt "erase zeroize". Hierbei ist aber zu beachten, dass nicht nur die gesamte Konfiguration gelöscht wird, sondern auch die Configuration Checkpoints, so dass eine Wiederherstellung der Konfiguration über externe Sicherungen erfolgen muss!

SVOS> erase zeroize
############################WARNING############################
This will securely erase all customer data and reset the switch
to factory defaults. This will initiate a reboot and render the
switch unavailable until the zeroization is complete.
This should take several minutes to one hour to complete.
############################WARNING############################

Continue (y/n)? y

 

Zurück