はじめに
本ドキュメントでは、Cisco ISE (Identity Services Engine) 検証環境等での GUI ログイン時に確認される以下の「Password is expired. Please reset your admin password.」メッセージについて、対応方法と併せて ISE の CLI / GUI 管理者アカウントに関する実装を紹介します。
CLI / GUI 管理者パスワードの理解
本メッセージは、GUI の admin アカウント (管理者アカウント) の期限切れを意味します。
ここでの「管理者アカウント」とは、ISE 初期インストール時に CLI で登録する CLI の admin アカウント (CLI 管理者) とは異なることに注意してください。
GUI の admin アカウントは、Configuration Guide の日本語訳では「管理者アカウント」と記載がされているので、本ドキュメントではその言葉を使用しています。
ISE の初期インストール時に設定する CLI の admin アカウントは、Configuration Guide の日本語訳では「CLI 管理者」と記載がされているので、同様に本ドキュメントではその言葉を使用しています。
(インストールガイドでは、「CLI 管理ユーザー」という言葉で表現されています。)
管理者アカウントと CLI 管理者は同時に作成されますが、それぞれのパスワードは別のデータベースへ保存されていることに特に注意してください。
以下に、今回の内容を理解するのに役立つ文章とその引用元を記載します。
セットアップ時に設定したユーザー名とパスワードは、CLI への管理アクセスにのみ使用されます。このロールは、CLI 管理ユーザー(CLI 管理者)と見なされます。
"Cisco Identity Services Engine リリース 3.0 管理者ガイド" より引用
初期設定後は、Cisco ISE GUI のパスワードと Cisco ISE CLI のパスワードが個別に管理されます。一方のパスワードを更新しても、もう一方のパスワードには影響しません。
"Cisco Identity Services Engine リリース 3.0 CLI リファレンスガイド" より引用
Cisco ISE セットアップ プログラムを使用して設定したユーザー名およびパスワードは、Cisco ISE CLI および Cisco ISE Web インターフェイスでの管理アクセスで使用するためのものです。
CLI 管理ユーザーは、Cisco ISE の Web ベースの管理ユーザー データベースにコピーされます。最初の CLI 管理ユーザーのみが Web ベースの管理ユーザーとしてコピーされます。
"Cisco Identity Services Engine リリース 3.0 インストール ガイド" より引用
対応方法
ISE の GUI と CLI は異なるパスワードで管理されていることがわかりました。そのため、今回は「CLI 管理ユーザー」を用いて「管理者アカウント」のパスワードを変更する必要があります。
以下の手順に従ってください。
1. CLI へ 「CLI 管理ユーザー」でログイン
2. 以下のコマンドを実行
cisco/admin#application reset-passwd ise admin
Enter new password:
Confirm new password:
Password reset successfully.
cisco/admin#
参考情報
ISE:パスワード回復のメカニズム
Cisco Identity Services Engine リリース 3.0 管理者ガイド
Cisco Identity Services Engine リリース 3.0 CLI リファレンスガイド
Cisco Identity Services Engine リリース 3.0 インストール ガイド
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
