はじめに
本ドキュメントでは、Cisco ISE (Identity Services Engine) 検証環境等での GUI ログイン時に確認される以下の「Password is expired. Please reset your admin password.」メッセージについて、対応方法と併せて ISE の CLI / GUI 管理者アカウントに関する実装を紹介します。
CLI / GUI 管理者パスワードの理解
本メッセージは、GUI の admin アカウント (管理者アカウント) の期限切れを意味します。
ここでの「管理者アカウント」とは、ISE 初期インストール時に CLI で登録する CLI の admin アカウント (CLI 管理者) とは異なることに注意してください。
GUI の admin アカウントは、Configuration Guide の日本語訳では「管理者アカウント」と記載がされているので、本ドキュメントではその言葉を使用しています。
ISE の初期インストール時に設定する CLI の admin アカウントは、Configuration Guide の日本語訳では「CLI 管理者」と記載がされているので、同様に本ドキュメントではその言葉を使用しています。
(インストールガイドでは、「CLI 管理ユーザー」という言葉で表現されています。)
管理者アカウントと CLI 管理者は同時に作成されますが、それぞれのパスワードは別のデータベースへ保存されていることに特に注意してください。
以下に、今回の内容を理解するのに役立つ文章とその引用元を記載します。
セットアップ時に設定したユーザー名とパスワードは、CLI への管理アクセスにのみ使用されます。このロールは、CLI 管理ユーザー(CLI 管理者)と見なされます。
"Cisco Identity Services Engine リリース 3.0 管理者ガイド" より引用
初期設定後は、Cisco ISE GUI のパスワードと Cisco ISE CLI のパスワードが個別に管理されます。一方のパスワードを更新しても、もう一方のパスワードには影響しません。
"Cisco Identity Services Engine リリース 3.0 CLI リファレンスガイド" より引用
Cisco ISE セットアップ プログラムを使用して設定したユーザー名およびパスワードは、Cisco ISE CLI および Cisco ISE Web インターフェイスでの管理アクセスで使用するためのものです。
CLI 管理ユーザーは、Cisco ISE の Web ベースの管理ユーザー データベースにコピーされます。最初の CLI 管理ユーザーのみが Web ベースの管理ユーザーとしてコピーされます。
"Cisco Identity Services Engine リリース 3.0 インストール ガイド" より引用
対応方法
ISE の GUI と CLI は異なるパスワードで管理されていることがわかりました。そのため、今回は「CLI 管理ユーザー」を用いて「管理者アカウント」のパスワードを変更する必要があります。
以下の手順に従ってください。
1. CLI へ 「CLI 管理ユーザー」でログイン
2. 以下のコマンドを実行
cisco/admin#application reset-passwd ise admin
Enter new password:
Confirm new password:
Password reset successfully.
cisco/admin#
参考情報
ISE:パスワード回復のメカニズム
Cisco Identity Services Engine リリース 3.0 管理者ガイド
Cisco Identity Services Engine リリース 3.0 CLI リファレンスガイド
Cisco Identity Services Engine リリース 3.0 インストール ガイド
