Recovery ISE CLI Admin Password

Beberapa waktu lalu saat sedang instalasi ISE di client, tidak sengaja admin password cli ISE-nya lock out. Setelah searching dan ubek-ubek support forum, ketemu juga solusinya, yaitu dengan membuat DVD/USB bootable. Cara ini cukup merepotkan karena harus download file image ISE dalam bentuk ISO yang besarnya hampir 4GB, gara-gara DVD bootable ISE tidak termasuk dalam bundle standar. Sebelum memulai, ada baiknya di list apa saja yang perlu kita siapkan:

  1. USB flashdisk minimal kapasitas 8G
  2. Virtualbox
  3. Linux machine with RHEL-5.x, RHEL-6.x, CentOS-5.x, or CentOS-6.x. (untuk membuat file bootable)
  4. Script iso-to-usb.sh (nanti akan disimpan di dalam VM)
  5. ISE 1.2 ISO image (juga di dalam VM, satu direktori dengan script iso-to-usb.sh
  6. Kabel UTP straight untuk koneksi dari ISE Appliance ke jaringan
  7. Koneksi jaringan ke NTP server dan ke internet
  8. Manual guide buat dibaca-baca

Setelah semua siap, langkah-langkahnya:

  1. Download semua software yang diperlukan, jika sudah terinstal, skip
  2. Di VM Linux, ubah permission script
    chmod u+x iso-to-usb.sh
  3. Jalankan command berikut di terminal VM:
    iso-to-usb.sh source_iso usb_device
    Di laptop saya commandnya jadi seperti ini
    ./iso-to-usb.sh ise-1.2.1.198.x86_64.iso /dev/sdb  
  4. Seluruh proses perubahan script ini memakan waktu kira-kira 15-30 menit. Jika sukses maka akan muncul pesan sukses di layar
    Pic1-ISE
    Pic2-ISE
  5. Hubungkan appliance dengan keyboard, monitor dan mouse. Lalu masukkan ke port usb di appliance, power on/restart appliance. Tekan F2 dan pilih BIOS setup. Pada bagian save dan exit, pilih opsi boot ke usb flashdisk
    Pic3-ISE
  6. Reboot lagi dan layar yang keluar adalah layar untuk recover password
    Pic4-ISE
  7. Pilih nomor 3, ketik enter. Masukkan password yang diinginkan lalu ISE akan loading.
    Pic5-ISE
  8. Jangan lupa appliance harus terkoneksi ke jaringan agar bisa menjangkau NTP Server,jika tidak bisa menjangkau NTP Server, akan stuck di Init Level 3.  Jika sudah stuck, hubungkan dengan jaringan yang terkoneksi ke NTP Server dan reboot appliance.
    Pic6-ISE

Fitur ini default di setiap ISE appliance, terlalu banyak percobaan login yang gagal pada CLI ISE, akan berakibat cli password lock out dan agar hal ini tidak terulang lagi, work around dari masalah ini adalah dengan men-disable policy tersebut:

Command diatas memastikan account admin tidak di-lock out setelah berapapun jumlah percobaan yang gagal. Yang harus diperhatikan adalah, karena lock out password ini dimaksudkan untuk meminimalisir serangan brute force, mendisable fitur ini membuat password cli rawan untuk dibobol dengan metode brute force.

 

 

 

 

 

Ilhampst July 14, 2015

ISE / Lockout / password / recovery /

Loopback Adapter di Windows 7
ASA Basic

Leave a Reply

Your email address will not be published / Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.