[HyperFlex] HXDP4.5でCLIにrootアクセスする手順

htakigaw · ‎2021-06-14

はじめに

Hyperflex 4.5 から、rootユーザーでのshellへのアクセスが制限されるようになりました。
障害対応での一部の作業は、TACを介してroot権限を付与した後、実施頂く流れとなります。
本ドキュメントでは、Hyperflex 4.5 でrootユーザーとしてshellにアクセスする手順について説明します。

参考ドキュメント：HXDP Release 4.5 - Secure Admin Shell

手順

1. HXのアドレスにadminユーザーでログインします。

ssh admin@X.X.X.X

この先の 2 〜 6 の手順は一連の作業として実施する必要があります。
チャレンジキー発行後に Exit で抜けると、レスポンスキーを利用できなくなります。

2. su rootコマンドでユーザー切り替えを実施し、Yを選択します。

su root

3. チャレンジキーを発行するために、1を選択します。

4. アクセス時間を入力します（最大4320分=72時間）。

5. アスタリスクの間の文字列を全てコピーし、TACまでご送付ください。レスポンスキーを作成し返信致します。

6. 2を選択し、TACから届いたレスポンスキーを入力します。

7. 「Do you want to sync the consent token to other controller VMs in the cluster(y/n)?」の質問は y を実行することで、クラスタ間でのトークンの共有、n を実行することで、ノード単体でのトークンの使用となります。
他のノードでも root 権限での作業をする場合は y を選択し、再度 root パスワードを入力します。

Screenshot 2024-07-22 at 16.42.07.png

8. whoamiコマンドでrootユーザーとしてログインできたことを確認します。

whoami

9. rootユーザーとしての作業を実施します。

10. 全ての作業を終了したのち、exit コマンドを実行し y を選択してinvalidateします。

exit

作業実施前に予め root 権限を取得し、root 権限を保持する場合は exit コマンドを実行し、n を実行します。
n を実行した場合はトークンの有効期限内であれば、チャレンジキー・レスポンスキーのやり取りなしで root 権限へ昇格することができます。

Keito Kajiura · ‎2023-12-12

root ログインした SCVM 上から下記のコマンドを実行することで、他の SCVM の root ユーザログインを有効化することができます。

# ct_engine --sync

実行例：

bash-4.2# ct_engine --sync
Please re-enter root password: <<< root パスワードを入力します
Token synchronized successfully !!
bash-4.2#
bash-4.2# ssh admin@XXX.XXX.XXX.XXX <<< 他の SCVM の Mgmt IP
Operating in CiscoSSL FIPS mode
FIPS mode initialized
HyperFlex StorageController 5.0(2a)
admin@XXX.XXX.XXX.XXX's password:
This is a Restricted shell.
Type '?' or 'help' to get the list of allowed commands.
hxshell:~$ su root
Password:
Valid token exists, providing root shell for 293 minute(s).  <<< チャレンジレスポンスキーのやり取り無くログインできます
bash-4.2#

Keito Kajiura · ‎2024-03-27

HXDP 5.0(2a) より制限が大幅に緩和された diag ユーザが導入されました。
diag アクセスに関しては下記のコンテンツを参考ください。

[HyperFlex] HXDP 5.0(2a) から導入された diag ユーザの紹介及びログイン手順
https://community.cisco.com/t5/-/-/tac-p/5051139