解锁MRS集群LDAP用户

在用户输入错误密码次数大于允许输入的错误次数，造成用户被锁定的场景下，用户可以通过Manager为锁定的用户解锁（仅支持解锁通过Manager创建的用户），也可以通过登录MRS集群节点后使用命令进行解锁。

如果服务出现异常状态，有可能是系统内部用户被锁定，需及时解锁，否则会影响集群正常运行。系统内部用户列表请参见MRS集群用户账号一览表。系统内部用户无法使用Manager解锁。

解锁Manager内创建的用户

MRS 3.x及之后版本：

登录FusionInsight Manager。
选择“系统 > 权限 > 用户”。
在要解锁用户所在行，单击“解锁”。
在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成解锁操作。

MRS 2.x及之前版本：

在MRS Manager，单击“系统设置”。
在“权限配置”区域，单击“用户管理”。

图1 用户管理
在要解锁用户所在行，选择“解锁用户”。

图2 解锁用户
在弹出的提示窗口，单击“确定”完成解锁操作。

解锁系统内部用户

该操作仅适用于MRS 3.x及之后版本。

使用以下方法确认系统内部用户是否被锁定：
1. 查询oldap端口：
  1. 登录Manager，选择“系统 > OMS > oldap > 修改配置”。
  2. “Ldap服务监听端口”参数值即为oldap端口。
2. 查询域名方法：
  1. 登录Manager，选择“系统 > 权限 > 域和互信”。
  2. “本端域”参数即为域名。
    例如当前系统域名为“9427068F-6EFA-4833-B43E-60CB641E5B6C.COM”。
3. 在集群内节点上以omm用户执行以下命令查询密码认证失败次数：
  ldapsearch -H ldaps://OMS浮动IP地址:OLdap端口 -LLL -x -D cn=root,dc=hadoop,dc=com -b krbPrincipalName=系统内部用户名@当前域名,cn=当前域名,cn=krbcontainer,dc=hadoop,dc=com -w LDAP管理员密码 -e ppolicy | grep krbLoginFailedCount
  - OMS浮动IP地址获取方式：远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示OMS浮动IP地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到OMS浮动IP地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。
  - LDAP管理员密码：参考MRS集群用户账号一览表获取LDAP管理员“cn=root,dc=hadoop,dc=com”的默认密码。
  例如，查看oms/manager用户认证失败次数：
  
  ldapsearch -H ldaps://10.5.146.118:21750 -LLL -x -D cn=root,dc=hadoop,dc=com -b krbPrincipalName=oms/manager@9427068F-6EFA-4833-B43E-60CB641E5B6C.COM,cn=9427068F-6EFA-4833-B43E-60CB641E5B6C.COM,cn=krbcontainer,dc=hadoop,dc=com -w cn=root,dc=hadoop,dc=com用户密码 -e ppolicy | grep krbLoginFailedCount
```
krbLoginFailedCount: 5
```
4. 登录Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。
5. 查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。
  
  查看运行日志，也可以确认系统内部用户是否被锁定。
以omm用户登录主管理节点，执行以下命令解锁。

sh ${BIGDATA_HOME}/om-server/om/share/om/acs/config/unlockuser.sh --userName 系统内部用户名

例如，sh ${BIGDATA_HOME}/om-server/om/share/om/acs/config/unlockuser.sh --userName oms/manager