操作場景

若服務出現異常狀態，有可能是系統內部用戶被鎖定，請及時解鎖，否則會影響集群正常運行。系統內部用戶列表請參見用戶帳號一覽表。系統內部用戶無法使用FusionInsight Manager解鎖。

前提條件

根據用戶帳號一覽表獲取LDAP管理員“cn=root,dc=hadoop,dc=com”的默認密碼。

操作步驟

1.使用以下方法確認系統內部用戶是否被鎖定：

a.查詢oldap端口：

-登錄FusionInsight Manager，選擇“系統 > OMS > oldap > 修改配置”。

-“Ldap服務監聽端口”參數值即為oldap端口。

b.查詢域名方法：

-登錄FusionInsight Manager，選擇“系統 > 權限 > 域和互信”。

-“本端域”參數即為域名。

例如當前系統域名為“9427068F-6EFA-4833-B43E-60CB641E5B6C.COM”。

c.在集群內節點上以omm用戶執行以下命令查詢密碼認證失敗次數：

ldapsearch -H ldaps://OMS浮動IP地址:OLdap端口 -LLL -x -D cn=root,dc=hadoop,dc=com -b krbPrincipalName=系統內部用戶名@當前域名,cn=當前域名,cn=krbcontainer,dc=hadoop,dc=com -w LDAP管理員密碼 -e ppolicy | grep krbLoginFailedCount

例如，查看oms/manager用戶認證失敗次數：

ldapsearch -H ldaps://10.5.146.118:21750 -LLL -x -D cn=root,dc=hadoop,dc=com -b krbPrincipalName=oms/manager@9427068F-6EFA-4833-B43E-60CB641E5B6C.COM,cn=9427068F-6EFA-4833-B43E-60CB641E5B6C.COM,cn=krbcontainer,dc=hadoop,dc=com -w cn=root,dc=hadoop,dc=com 用戶密碼 -e ppolicy | grep krbLoginFailedCount
krbLoginFailedCount: 5

d.登錄FusionInsight Manager，選擇“系統 > 權限 > 安全策略 > 密碼策略”。

e.查看“密碼連續錯誤次數”參數值，若小于等于“krbLoginFailedCount”參數值，則用戶已被鎖定。

                
說明
                
查看運行日志，也可以確認系統內部用戶是否被鎖定。
              

2.以omm用戶登錄主管理節點，執行以下命令解鎖。

sh ${BIGDATA_HOME}/om-server/om/share/om/acs/config/unlockuser.sh --userName 系統內部用戶名

例如，

sh ${BIGDATA_HOME}/om-server/om/share/om/acs/config/unlockuser.sh --userName oms/manager