Für die Authentifizierung von administrativen Benutzern an ArubaOS-CX Switches gibt es grundsätzlich zwei Möglichkeiten:
Wir schauen uns hier die erste Variante, also lokale Benutzer an und zeigen, wie ein verlorenes Passwort eines lokalen Administrators wiederhergestellt werden kann.
Im Werkszustand kommt der Switch mit einem Benutzer admin, der der ebenfalls vordefinierten Benutzergruppe Administrators zugeordnet ist. Wie die Namen schon ausdrücken, verfügen Benutzer dieser Gruppe über vollumfängliche Administrationsrechte auf dem Switch. Das initial leere Passwort des admin Users muss beim ersten login Vorgang geändert werden. Zusätzlich können weitere Administratoren mit dem folgenden Kommando angelegt werden:
switch(config)# user MEINNAME group administrators password plaintext MEINPASSWORT |
Selbst wenn weitere Benutzer in der Gruppe Administrators angelegt werden, kann der Benutzer admin nicht gelöscht werden. Es gibt also immer einen lokalen admin User.
Was aber, wenn das Passwort für den admin User verlegt und vergessen wurde und auch kein weiterer, bekannter User mit Administrator Rechten zugänglich ist? In diesem Fall kann eine Wiederherstellung des admin Passworts über die Service OS Konsole erfolgen.
Die ArubaOS-CX Switches verfügen über ein Rumpfbetriebssystem, das sogenannte Service OS. Das Service OS stellt Funktionen bereit, die außerhalb des CX Betriebssystems genutzt werden können, um Systemoperationen auszuführen. Hierzu zählt auch das Neusetzen des Passworts für den admin User.
Wir zeigen den Vorgang am Beispiel eines 6200F unter 10.12.1000.
Nach dem Kaltstart des Switches erscheint auf der Switch Konsole als erstes die Service OS Information sowie eine Wahlmöglichkeit unter drei Boot Profilen:
ServiceOS Information: Boot Profiles: 0. Service OS Console Select profile(primary): |
Das Zeitfenster für die Wahl des Bootprofils ist 5 Sekunden lang, wenn keine Eingabe erfolgt wird ansonsten das hinter "Select profile" angezeigt Default Boot Image gestartet.
Mit "0" kann man innerhalb von 5 Sekunden die Service OS Konsole starten.
Am "ServiceOS login:" Prompt muss der Benutzername "admin" eingegeben werden. Sofern die Passwortabfrage für den "admin" Account im Service OS nicht zuvor eingeschaltet wurde, kommt man dann direkt zum "SVOS>" Prompt. Es handelt sich also im ServiceOS um denselben "admin" Account wie unter CX, per default ist im ServiceOS aber die Passwortabfrage deaktiviert.
(C) Copyright 2017-2023 Hewlett Packard Enterprise Development LP RESTRICTED RIGHTS LEGEND To reboot without logging in, enter 'reboot' as the login user name. ServiceOS login: admin |
Mit dem "?" werden die möglichen Kommandos in diesem Modus angezeigt.
SVOS> ? ? - Display help screen Enter '<command> --help' for more info SVOS> |
Das Kommando "password" kann dann verwendet werden, um das Passwort des "admin" Users unter CX setzen. Anschließend wird der Switch mit dem Kommando "boot" durchgestartet.
SVOS> password Enter password: ************ Confirm password: ************ SVOS> boot |
Die Alternative zum Setzen des admin-Passworts mit dem "password" Kommando ist ein Start in den Werkszustand, der ebenfalls aus dem Service OS ausgeführt werden kann. Das Kommando hierzu heißt "erase zeroize". Hierbei ist aber zu beachten, dass nicht nur die gesamte Konfiguration gelöscht wird, sondern auch die Configuration Checkpoints, so dass eine Wiederherstellung der Konfiguration über externe Sicherungen erfolgen muss!
SVOS> erase zeroize Continue (y/n)? y |