Skip to content

ACI で Cisco 社から指定があった場合に root ユーザへ昇格する手順

通常、Cisco ACI へ root 権限でログインすることは出来ませんし、その必要もありません。 ですが、Cisco 社から「トラブルシューティング上、root 権限へ昇格して所定のコマンドを実行して欲しい」といった依頼があった場合は root 権限へ昇格する必要があります。 今回は root 権限へ昇格する手順をメモしておきます。

後述する通り、root ユーザへ昇格するには「Cisco 社から有効期限付きの一時パスワードを発行して貰う」必要がある為、ユーザが任意にいつでも root ユーザへ昇格出来るわけではありません (繰り返しになりますが、その必要もありません)。

作業の流れ

作業の流れは以下の通りです。

  1. Debug Token を発行する
  2. Cisco へ Debug Token を連絡し、パスワードを受け取る
  3. root ユーザで APIC へ SSH ログインする

1. Debug Token を発行する

APIC 上で acidiag dbgtoken を実行することで 12 桁の Debug Token を得られます。

1
2
apic# acidiag dbgtoken
0123456789AB

2. Cisco へ Debug Token を連絡し、パスワードを受け取る

先の手順で発行した Debug Token を Cisco へ送付し、root アクセス用のパスワードを発行してもらいます。 発行されたパスワードには有効期限がある為、要注意です (作業可能な時間帯に合わせてパスワードを発行して貰えるよう、調整する必要があるかも知れません)。

3. root ユーザで APIC へ SSH ログインする

Cisco 社から root ユーザ用パスワードを受け取ったら、あとは APIC へ root ユーザでログインするだけです。

1
2
3
4
5
$ ssh root@10.0.0.1
Warning: Permanently added '10.0.0.1' (RSA) to the list of known hosts.
Application Policy Infrastructure Controller
root@10.0.0.1's password: 
[root@apic ~]#

admin ユーザから su -sudo su - は拒否されるようです。

1
2
3
4
5
apic# su -
Password: 
su: Permission denied
apic# sudo su - 
su -: Operation not permitted