Récupérer l’accès à un F5 BIG-IP après la perte d’un mot de passe administrateur
Perdre le mot de passe d’administration d’un F5 BIG-IP peut être bloquant, surtout si l’équipement est en production et joue un rôle critique dans l’infrastructure réseau. Heureusement, F5 propose des procédures officielles pour restaurer l’accès. Cet article décrit les scénarios et les solutions disponibles.
1. Scénarios possibles de perte d’accès
- Mot de passe du compte
admin oublié (accès à la GUI/TMOS impossible). - Mot de passe
root oublié (accès SSH ou console impossible). - Aucun autre compte administrateur disponible.
2. Solutions de récupération disponibles
🔹 2.1 Utiliser un autre compte administrateur
Vérifiez si un autre utilisateur avec privilèges admin existe. Si l’authentification est intégrée à un annuaire (LDAP, RADIUS, TACACS+, AD), utilisez un autre compte pour accéder au système. Une fois connecté, changez le mot de passe du compte perdu.
🔹 2.2 Réinitialiser le mot de passe via la console
Si aucun compte n’est disponible, il faut passer par la
console physique ou virtuelle de l’appliance :
- Connectez-vous via le port série, iDRAC/ILO (si appliance physique) ou console VM (si BIG-IP Virtual Edition).
- Redémarrez l’appliance.
- Interrompez le démarrage au niveau de GRUB.
- Modifiez la ligne de démarrage pour entrer en single-user mode.
- Le système démarre en mode maintenance avec un shell root sans mot de passe.
- Changez le mot de passe avec :
passwd root
Ou, si vous voulez modifier l’utilisateur admin TMOS :
tmsh modify auth user admin password <NouveauMotDePasse>
save sys config
- Redémarrez normalement.
🔹 2.3 Restaurer depuis une sauvegarde UCS
Si vous disposez d’une sauvegarde récente (fichier
.ucs), vous pouvez restaurer l’appliance pour récupérer les comptes et mots de passe précédents.
🔹 2.4 Contacter le support F5
Si aucune solution ne fonctionne ou si la procédure risque d’impacter la production, ouvrez un ticket auprès du
support F5. Ils disposent de procédures guidées et sécurisées pour restaurer l’accès.
3. Bonnes pratiques pour éviter ce problème
- Créez au moins deux comptes administrateurs indépendants.
- Utilisez un système d’authentification centralisé (LDAP, RADIUS, TACACS+, Active Directory).
- Sauvegardez régulièrement la configuration via des fichiers UCS.
- Stockez les mots de passe dans un coffre-fort sécurisé (ex. HashiCorp Vault, CyberArk, Bitwarden).
- Documentez les procédures de reprise et testez-les périodiquement.
Conclusion
La perte d’un mot de passe sur un F5 BIG-IP n’est pas une situation irrémédiable. Grâce aux accès console et aux outils fournis par F5 (TMSH, single-user mode, restauration UCS), il est possible de regagner le contrôle de manière sécurisée. Le plus important reste cependant la
prévention : gestion rigoureuse des comptes, sauvegardes régulières et authentification centralisée.
