修改Manager系统域名
操作场景
每个系统用户安全使用的范围定义为“域”,不同的系统需要定义唯一的域名。FusionInsight Manager的域名在安装过程中生成,如果需要修改为特定域名,系统管理员可通过FusionInsight Manager进行配置。
- 修改系统域名为高危操作,在执行本章节操作前,请确认已参考备份Manager数据章节成功备份了OMS数据。
对系统的影响
- 修改Manager系统域名时,需要重启所有集群,集群在重启期间无法使用。
- 修改域名后,Kerberos管理员与OMS Kerberos管理员的密码将重新初始化,请使用默认密码并重新修改。组件运行用户的密码是系统随机生成的,如果用于身份认证,请参见导出认证凭据文件,重新下载keytab文件。
- 修改域名后,“admin”用户、组件运行用户和系统管理员在修改域名以前添加的“人机”用户,密码会重置为相同密码,请重新修改。重置后的密码由两部分组成:系统生成部分和用户设置部分,系统生成部分为Admin@123,用户设置部分规则参照表2中“密码后缀”参数的说明,默认值为Admin@123。例如:系统生成部分为Admin@123,用户设置部分为Test#$%@123,则此时重置后的密码为Admin@123Test#$%@123。
- 重置后的密码必需满足当前用户密码策略,使用omm用户登录主OMS节点后,执行如下工具脚本可以获取到修改域名后的“人机”用户密码。
sh ${BIGDATA_HOME}/om-server/om/sbin/get_reset_pwd.sh 密码后缀 user_name
- 密码后缀为用户设置的参数,如果不指定,则填充为默认值,默认值为“Admin@123”。
- user_name为可选参数,默认取值为“admin”。
例如:
sh ${BIGDATA_HOME}/om-server/om/sbin/get_reset_pwd.sh Test#$%@123
To get the reset password after changing cluster domain name. pwd_min_len : 8 pwd_char_types : 4 The password reset after changing cluster domain name is: "Admin@123Test#$%@123"
“pwd_min_len”和“pwd_char_types”分别表示当前用户密码策略“最小密码长度”和“密码字符类型数目”,“Admin@123Test#$%@123”为修改系统域名后的“人机”用户密码。命令中如果携带认证密码信息可能存在安全风险,在执行命令前建议关闭系统的history命令记录功能,避免信息泄露。
- 修改系统域名后,重置后的密码由系统生成部分和用户设置部分组成,且必需满足当前用户密码策略,长度不足时在Admin@123和用户设置部分中间,使用一个或多个@补全;字符种类为5时,在Admin@123后补充一个空格。
- 修改系统域名后,系统管理员在修改域名以前添加的“机机”用户,请重新下载keytab文件。
- 修改系统域名后,请重新下载并安装集群客户端。
前提条件
操作步骤
- 登录FusionInsight Manager。
- 选择“系统 > 权限 > 域和互信”。
- 修改相关参数。
- 单击“确定”,等待修改配置完成后再继续执行后续步骤,完成前请勿提前执行后续步骤。
- 以omm用户登录主管理节点。
- 执行以下命令,重启更新域配置。
sh ${BIGDATA_HOME}/om-server/om/sbin/restart-RealmConfig.sh
提示以下信息表示命令执行成功。
Modify realm successfully. Use the new password to log into FusionInsight again.
重启后部分主机与服务可能无法访问并触发告警,执行“restart-RealmConfig.sh”后大约需要1分钟自动恢复。
- 使用重置后的admin用户及密码(例如Admin@123Admin@123)登录FusionInsight Manager,在“主页”右上方选择“更多 > 重启”,重启集群。
在弹出窗口中输入当前登录的用户密码确认身份,然后单击“确定”。
在确认重启集群的对话框中单击“确定”,等待界面提示“操作成功。”,单击“完成”。
- 退出FusionInsight Manager,重新登录正常表示配置已成功。
- 使用omm用户登录主管理节点,执行以下命令刷新作业提交客户端配置:
sh /opt/executor/bin/refresh-client-config.sh