更新时间:2023-03-17 GMT+08:00

修改LDAP管理帐户密码

操作场景

建议管理员定期修改集群LDAP管理帐户“cn=krbkdc,ou=Users,dc=hadoop,dc=com”和“cn=krbadmin,ou=Users,dc=hadoop,dc=com”的密码,以提升系统运维安全性。

对系统的影响

  • 修改密码后需要重启KrbServer服务。
  • 修改密码后需要确认LDAP管理帐户“cn=krbkdc,ou=Users,dc=hadoop,dc=com”和“cn=krbadmin,ou=Users,dc=hadoop,dc=com”是否被锁定,在集群主管理节点上执行如果下命令查看krbkdc是否被锁定(krbadmin用户方法类似):

    oldap端口查询方法:

    1. 登录FusionInsight Manager,选择系统 > OMS > oldap > 修改配置
    2. “Ldap服务监听端口”参数值即为oldap端口。

    ldapsearch -H ldaps://OMS_FLOAT_ IP地址:OLdap端口 -LLL -x -D cn=krbkdc,ou=Users,dc=hadoop,dc=com -W -b cn=krbkdc,ou=Users,dc=hadoop,dc=com -e ppolicy

    输入LDAP管理帐户krbkdc的密码,出现如下提示表示该用户被锁定,则需要解锁用户,具体请参见解锁LDAP用户和管理帐户

    ldap_bind: Invalid credentials (49); Account locked

前提条件

已确认主管理节点IP地址。

操作步骤

  1. omm用户通过管理节点IP登录主管理节点。
  2. 执行以下命令,切换到目录。

    cd ${BIGDATA_HOME}/om-server/om/meta-0.0.1-SNAPSHOT/kerberos/scripts

  3. 执行以下命令,修改LDAP管理帐户密码。

    ./okerberos_modpwd.sh

    输入旧密码后,再输入两次新密码。

    密码复杂度要求:

    • 密码字符长度为16~32位。
    • 至少需要包含大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+|[{}];,<.>/?中的3种类型字符。
    • 不可与当前密码相同。

    显示如下结果,说明修改成功:

    Modify kerberos server password successfully.

  4. 登录FusionInsight Manager,选择“集群 > 待操作集群的名称 > 服务 > KrbServer > 更多 > 重启服务”。

    验证用户身份后不勾选“同时重启上层服务”,单击“确定”重启KrbServer服务。