更新时间:2023-11-21 GMT+08:00
分享

修改Manager系统域名

操作场景

每个系统用户安全使用的范围定义为“域”,不同的系统需要定义唯一的域名。FusionInsight Manager的域名在安装过程中生成,如果需要修改为特定域名,系统管理员可通过FusionInsight Manager进行配置。

  • 修改系统域名为高危操作,在执行本章节操作前,请确认已参考备份Manager数据章节成功备份了OMS数据。

对系统的影响

  • 修改Manager系统域名时,需要重启所有集群,集群在重启期间无法使用。
  • 修改域名后,Kerberos管理员与OMS Kerberos管理员的密码将重新初始化,请使用默认密码并重新修改。组件运行用户的密码是系统随机生成的,如果用于身份认证,请参见导出认证凭据文件,重新下载keytab文件。
  • 修改域名后,“admin”用户、组件运行用户和系统管理员在修改域名以前添加的“人机”用户,密码会重置为相同密码,请重新修改。重置后的密码由两部分组成:系统生成部分和用户设置部分,系统生成部分为Admin@123,用户设置部分规则参照表2中“密码后缀”参数的说明,默认值为Admin@123。例如:系统生成部分为Admin@123,用户设置部分为Test#$%@123,则此时重置后的密码为Admin@123Test#$%@123。
  • 重置后的密码必需满足当前用户密码策略,使用omm用户登录主OMS节点后,执行如下工具脚本可以获取到修改域名后的“人机”用户密码。

    sh ${BIGDATA_HOME}/om-server/om/sbin/get_reset_pwd.sh 密码后缀 user_name

    • 密码后缀为用户设置的参数,如果不指定,则填充为默认值,默认值为“Admin@123”
    • user_name为可选参数,默认取值为“admin”
    • 命令中如果携带认证密码信息可能存在安全风险,在执行命令前建议关闭系统的history命令记录功能,避免信息泄露。

    例如:

    sh ${BIGDATA_HOME}/om-server/om/sbin/get_reset_pwd.sh Test#$%@123

    To get the reset password after changing cluster domain name.
      pwd_min_len      : 8
      pwd_char_types   : 4
    The password reset after changing cluster domain name is: "Admin@123Test#$%@123"

    “pwd_min_len”“pwd_char_types”分别表示当前用户密码策略“最小密码长度”和“密码字符类型数目”,“Admin@123Test#$%@123”为修改系统域名后的“人机”用户密码。

  • 修改系统域名后,重置后的密码由系统生成部分和用户设置部分组成,且必需满足当前用户密码策略,长度不足时在Admin@123和用户设置部分中间,使用一个或多个@补全;字符种类为5时,在Admin@123后补充一个空格。
    当用户设置部分为Test@123,使用默认用户密码策略时,新密码为“Admin@123Test@123”,长度为17字符种类为4。需满足当前用户密码策略时,新密码处理如表1所示。
    表1 满足不同密码策略时的新密码

    最小密码长度

    字符种类

    对比用户密码策略结果

    重置后的密码

    8到17位

    4

    已满足用户密码策略

    Admin@123Test@123

    18位

    4

    需补充一个@

    Admin@123@Test@123

    19位

    4

    需补充两个@

    Admin@123@@Test@123

    8到18位

    5

    需补充一个空格

    Admin@123 Test@123

    19位

    5

    需补充一个空格和一个@

    Admin@123 @Test@123

    20位

    5

    需补充一个空格和两个@

    Admin@123 @@Test@123

  • 修改系统域名后,系统管理员在修改域名以前添加的“机机”用户,请重新下载keytab文件。
  • 修改系统域名后,请重新下载并安装集群客户端。
  • 修改系统域名后,如果有运行中的HetuEngine计算实例,需要重启HetuEngine的计算实例。

前提条件

  • 系统管理员已明确业务需求,并规划好不同系统的域名。

    域名只能包含大写字母、数字、圆点(.)及下划线(_),且只能以字母或数字开头。例如“DOMAINA.HW”和“DOMAINB.HW”。

  • Manager内所有集群全部组件的运行状态均为“良好”。
  • Manager内所有集群的ZooKeeper服务的“acl.compare.shortName”参数需确保为默认值“true”。否则请修改该参数为“true”后重启ZooKeeper服务。

操作步骤

  1. 登录FusionInsight Manager。
  2. 选择“系统 > 权限 > 域和互信”。

    图1 域和互信

  3. 修改相关参数。

    表2 相关参数

    参数名

    描述

    本端域

    填写本系统规划好的域名。

    密码后缀

    “人机”用户密码重置后的用户设置密码部分,必填,默认值为Admin@123。

    说明:

    该参数只有在修改了“本端域”参数后,才会生效。且需满足以下条件:

    • 密码字符长度为8到16位。
    • 至少需要包含大写字母、小写字母、数字、特殊字符中的三种类型字符。支持的特殊字符为`~!@#$%^&*()-_=+|[{}];:',<.>/?和空格。

  4. 单击“确定”,等待修改配置完成后再继续执行后续步骤,完成前请勿提前执行后续步骤。
  5. omm用户登录主管理节点。
  6. 执行以下命令,重启更新域配置。

    sh ${BIGDATA_HOME}/om-server/om/sbin/restart-RealmConfig.sh

    提示以下信息表示命令执行成功。

    Modify realm successfully. Use the new password to log into FusionInsight again.  

    重启后部分主机与服务可能无法访问并触发告警,执行“restart-RealmConfig.sh”后大约需要1分钟自动恢复。

  1. 使用重置后的admin用户及密码(例如Admin@123Admin@123)登录FusionInsight Manager,单击主页上的或者“更多”,单击“重启”,重启集群。

    在弹出窗口中输入当前登录的用户密码确认身份,然后单击“确定”。

    在确认重启集群的对话框中单击“确定”,等待界面提示“操作成功。”,单击“完成”。

  2. 退出FusionInsight Manager,重新登录正常表示配置已成功。
  3. 使用omm用户登录主管理节点,执行以下命令刷新作业提交客户端配置:

    sh /opt/executor/bin/refresh-client-config.sh

  4. 如果有运行中的HetuEngine计算实例,需重启该计算实例。

    1. 使用用于访问HetuEngine WebUI界面的用户登录FusionInsight Manager。
    2. 选择“集群 > 服务 > HetuEngine”,进入HetuEngine服务页面。
    3. 在“概览”页签下的“基本信息”区域,单击“HSConsole WebUI”后的链接,进入HSConsole界面。
    4. 对于运行中的计算实例,在实例的“操作”列单击“停止”,待计算实例处于“已停止”状态后,再单击“启动”重启计算实例。

分享:

    相关文档

    相关产品