操作场景
建议管理员定期修改集群LDAP管理帐户“cn=krbkdc,ou=Users,dc=hadoop,dc=com”和“cn=krbadmin,ou=Users,dc=hadoop,dc=com”的密码,以提升系统运维安全性。
对系统的影响
- 修改密码后需要重启KrbServer服务。
- 修改密码后需要确认LDAP管理帐户“cn=krbkdc,ou=Users,dc=hadoop,dc=com”和“cn=krbadmin,ou=Users,dc=hadoop,dc=com”是否被锁定,在集群主管理节点上执行如果下命令查看krbkdc是否被锁定(krbadmin用户方法类似):
说明oldap端口查询方法:
1. 登录FusionInsight Manager,选择“系统 > OMS > oldap > 修改配置”;
2. “Ldap服务监听端口”参数值即为oldap端口。
ldapsearch -H ldaps://OMS_FLOAT_ IP地址:OLdap端口 -LLL -x -D cn=krbkdc,ou=Users,dc=hadoop,dc=com -W -b cn=krbkdc,ou=Users,dc=hadoop,dc=com -e ppolicy
输入LDAP管理帐户krbkdc的密码,出现如下提示表示该用户被锁定,则需要解锁用户,具体请参见解锁LDAP用户和管理帐户。
ldap_bind: Invalid credentials (49); Account locked
前提条件
已确认主管理节点IP地址。
操作步骤
1.以omm用户通过管理节点IP登录主管理节点。
2.执行以下命令,切换到目录。
cd ${BIGDATA_HOME}/om-server/om/meta-0.0.1-SNAPSHOT/kerberos/scripts
3.执行以下命令,修改LDAP管理帐户密码。
./okerberos_modpwd.sh
输入旧密码后,再输入两次新密码。
密码复杂度要求:
- 密码字符长度为16~32位。
- 至少需要包含大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+|[{}];,<.>/?中的3种类型字符。
- 不可与当前密码相同。
显示如下结果,说明修改成功:
Modify kerberos server password successfully.
4.登录FusionInsight Manager,选择“集群 > 待操作集群的名称 > 服务 > KrbServer > 更多 > 重启服务”。
验证用户身份后不勾选“同时重启上层服务”,单击“确定”重启KrbServer服务。