Cambio de las contraseñas del administrador LDAP y del usuario LDAP (incluido OMS LDAP)

Escenario

Se recomienda que el administrador cambie periódicamente las contraseñas del administrador LDAP cn=root,dc=hadoop,dc=com y del usuario LDAP cn=pg_search_dn,ou=Users,dc=hadoop,dc=com para mejorar la seguridad del sistema O&M.

Si se cambian las contraseñas, también se cambia la contraseña del administrador o usuario OMS LDAP.

Si el clúster se actualiza de una versión anterior a una versión más reciente, la contraseña del administrador LDAP heredará la política de contraseñas del clúster antiguo. Para garantizar la seguridad del sistema, se recomienda cambiar la contraseña después de la actualización del clúster.

Impacto en el sistema

• Cambiar la contraseña de usuario del servicio LdapServer es una operación de alto riesgo y requiere reiniciar los servicios KrbServer y LdapServer. Si se reinicia KrbServer, es posible que no se pueda consultar a los usuarios ejecutando el comando id en los nodos del clúster temporalmente. Por lo tanto, tenga cuidado al reiniciar KrbServer.
• Después de cambiar la contraseña del usuario LDAP cn=pg_search_dn,ou=Users,dc=hadoop,dc=com, el usuario puede ser bloqueado en el componente LDAP. Por lo tanto, se recomienda desbloquear al usuario después de cambiar la contraseña. Para obtener más información sobre cómo desbloquear el usuario, consulte Desbloqueo de usuarios LDAP y cuentas de gestión.

Prerrequisitos

Antes de cambiar la contraseña del usuario LDAP cn=pg_search_dn,ou=Users,dc=hadoop,dc=com, asegúrese de que el usuario no está bloqueado ejecutando el siguiente comando en el nodo de gestión activo del clúster:

Para consultar el número de puerto OLdap, realice los siguientes pasos:

1. Inicie sesión en FusionInsight Manager y seleccione System > OMS > oldap > Modify Configuration:
2. El valor de LDAP Service Listening Port es el puerto OLDAP.

ldapsearch -H ldaps://Floating IP address of OMS:OLDAP port-LLL -x -D cn=pg_search_dn,ou=Users,dc=hadoop,dc=com -W -b cn=pg_search_dn,ou=Users,dc=hadoop,dc=com -e ppolicy

Introduzca la contraseña del usuario LDAP pg_search_dn. Si se muestra la siguiente información, el usuario está bloquea. En este caso, desbloquee el usuario. Para obtener más información, consulte Desbloqueo de usuarios LDAP y cuentas de gestión.

La contraseña del usuario LDAP pg_search_dn es generada aleatoriamente por el sistema. Puede obtener la contraseña del archivo /etc/sssd/sssd.conf or /etc/ldap.conf del nodo activo.

ldap_bind: Invalid credentials (49); Account locked

Procedimiento

1. Inicie sesión en FusionInsight Manager, haga clic en Cluster, haga clic en el nombre del clúster deseado y elija Service > LdapServer.
2. Elija More > Change Database Password. En el cuadro de diálogo que se muestra, introduzca la contraseña del usuario de inicio de sesión actual y haga clic en OK.
3. En el cuadro de diálogo Change Password, seleccione el usuario cuya contraseña se va a modificar en el cuadro desplegable User Information.
4. Introduzca la contraseña antigua en el cuadro de texto Old Password e introduzca la nueva contraseña en los cuadros de texto New Password y Confirm Password.

   La contraseña debe cumplir los siguientes requisitos de complejidad:

   • Contiene de 16 a 32 caracteres.
   • Contiene al menos tres tipos de los siguientes: letras mayúsculas, minúsculas, números, espacios y caracteres especiales (`~!@#$%^&*()-_=+|[{}];,<.>/?).
   • No puede ser el mismo que el nombre de usuario o el nombre de usuario escrito al revés.
   • No puede ser la misma que la contraseña actual.

5. Seleccione I have read the information and understood the impact y haga clic en OK para confirmar la modificación y reiniciar el servicio.