BIG-IP virtual editionでマネジメントIPアドレスを付与し、SSHまたはHTTPSでログインできるようにするまでの設定方法を説明します。バージョン15以降では、デフォルト設定のパスワードポリシーが強化されたため、以前に比べると手間が必要になりました。
コマンドラインによるログイン設定
初期パスワードの変更
BIG-IPの仮想マシンを起動します。
起動が完了すると以下のようなログイン画面が表示されます。初期状態ではユーザ名「root」パスワード「default」でログイン可能です。
初期設定のパスワードはパスワードポリシーを満たしてないため、パスワード変更を強制されます。「(current) Unix password :」と現在のパスワードを聞かれますので、「default」と入力します。
その後、新しいパスワードの入力を2回求められます。新しいパスワードは辞書ワード禁止、8文字以上、大文字小文字混在などかなり複雑なパスワードの入力を求められます。
この時は英字キーボードになっている事に注意して下さい。英字キーボードを使いこなせないならば、大文字小文字数字のみのパスワードにしておきましょう
パスワード変更に成功すると、以下のように表示されます。
マネジメントIPアドレスの設定
DHCPを利用する場合
DHCPによるIPアドレス割り当てをそのまま利用する場合は、以下のifconfig mgmtコマンドでマネジメントポートに割り当てられたIPアドレスを確認する事ができます。
[root@localhost:NO LICENSE:Standalone] config # ifconfig mgmt
mgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.2.230 netmask 255.255.255.0 broadcast 192.168.2.255
inet6 fe80::250:56ff:fe8f:8d16 prefixlen 64 scopeid 0x20<link>
ether 00:50:56:8f:8d:16 txqueuelen 1000 (Ethernet)
RX packets 1214 bytes 158250 (154.5 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 770 bytes 1738720 (1.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
静的に割り当てる場合
tmshコマンドを使うと、TMOS shellを呼ばれるBIG-IPを操作するためのシェルを使用する事ができます。TMOS shellに切り替わると以下のようにプロンプトが切り替わります。
[root@localhost:NO LICENSE:Standalone] config # tmsh root@(localhost)(cfg-sync Standalone)(NO LICENSE)(/Common)(tmos)#
静的にIPアドレスを割り当てるには、まずはDHCPクライアントを無効にする必要があります。以下のコマンドでマネジメントポートに対するDHCPクライアント機能を無効にできます。
modify sys global-settings mgmt-dhcp disabled
以下のコマンドでマネジメントポートに対するIPアドレスを設定する事ができます。
create sys management-ip 192.168.2.20/24
以下のいずれかのコマンドでマネジメントポートに対するデフォルトゲートウェイを設定する事ができます。DHCPのない環境ならば「create」コマンドを使用します。DHCPのある環境ならば、DHCPがデフォルトゲートウェイを作成している可能性があるため、設定を変更する「modify」コマンドを使用します。
この辺りは環境依存なので、createコマンドを使って怒られたならば、modifyコマンドを使ってみましょう。
create sys management-route default gateway 192.168.2.1 modify sys management-route default gateway 192.168.2.1
パスワードポリシーの無効化
BIG-IPのパスワードポリシーは商用環境では適切かもしれませんが、スピード感が求められる開発環境や検証環境では不適切かもしれません。このような場合は以下のコマンドでパスワードポリシーを無効にする事ができます。
modify auth password-policy policy-enforcement disabled
設定保存
TMOSで設定したコマンドは、以下操作で設定を保存する事ができます。
save sys config
保存に成功すると、以下のようなログが表示されます。
root@(localhost)(cfg-sync Standalone)(NO LICENSE)(/Common)(tmos)# save sys config Saving running configuration... /config/bigip.conf /config/bigip_base.conf /config/bigip_user.conf Saving Ethernet map ...done Saving PCI map ... - verifying checksum .../var/run/f5pcimap: OK done - saving ...done root@(localhost)(cfg-sync Standalone)(NO LICENSE)(/Common)(tmos)#
TMOS shellからの離脱
TMOSから離脱し、B-shellに戻るにはquitコマンドを使用します。
root@(localhost)(cfg-sync Standalone)(NO LICENSE)(/Common)(tmos)# quit [root@localhost:NO LICENSE:Standalone] config #
パスワード設定
rootユーザ
passwdコマンドでrootユーザのパスワード再設定が可能です。もし、パスワードポリシーを無効化している場合は、覚えやすい簡単なパスワードも設定可能です。
[root@localhost:NO LICENSE:Standalone] config # passwd Changing password for user root. New BIG-IP password: Retype new BIG-IP password: [root@localhost:NO LICENSE:Standalone] config #
adminユーザ
passwd adminコマンドでadminユーザのパスワードが設定可能です。BIG-IP バージョン15未満は初期ユーザ「admin」初期パスワード「admin」で明示操作なしにGUIログインが可能でしたが、バージョン15以降は明示的なパスワード設定操作が必要です。
[root@localhost:NO LICENSE:Standalone] config # passwd admin Changing password for user admin. New BIG-IP password: Retype new BIG-IP password: [root@localhost:NO LICENSE:Standalone] config #
ログイン疎通確認
CLIログイン
sshによるログインが可能な事を確かめます。ユーザ名は「root」、パスワードは前述のpasswdコマンドで指定したものです。
administrator@ubuntu216:~$ ssh 192.168.2.20 -l root The authenticity of host '192.168.2.20 (192.168.2.20)' can't be established. ECDSA key fingerprint is SHA256:koQ+1X5u1j5rUTwKHx+pS1T8GMHFrD/yR6QKcmGe9OM. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '192.168.2.20' (ECDSA) to the list of known hosts. Password: Last login: Fri Jul 9 22:03:13 2021 from 192.168.1.216 [root@localhost:NO LICENSE:Standalone] config #
GUIログイン
ブラウザでhttps接続を試みます。証明書のエラーは無視してください。
ユーザ名「admin」、パスワードは前述のpasswd adminコマンドで指定したものでログインします。
ログインに成功すると以下のような画面が表示されます。
