操作場景

建議管理員定期修改集群的LDAP管理員用戶“cn=root,dc=hadoop,dc=com”和LDAP用戶“cn=pg_search_dn,ou=Users,dc=hadoop,dc=com”的密碼，以提升系統運維安全性。

修改上述用戶密碼將同步修改OMS LDAP管理員或用戶密碼。

                
說明
                
舊版本集群升級到新版本后，LDAP管理員密碼將繼承舊集群的密碼策略，為保證系統安全，建議集群升級后及時修改密碼。
              

對系統的影響

• 修改LdapServer服務的用戶密碼為高危操作，需要重啟KrbServer和LdapServer服務。重啟KrbServer可能會導致集群中的節點短時間內出現執行id命令查詢不到用戶的現象，請謹慎執行。
• 修改LDAP用戶“cn=pg_search_dn,ou=Users,dc=hadoop,dc=com”的密碼后，可能會導致該用戶在組件LDAP上被鎖定。因此，建議修改密碼后對該用戶進行解鎖，解鎖方法請參見解鎖LDAP用戶和管理帳戶章節。

前提條件

修改LDAP用戶“cn=pg_search_dn,ou=Users,dc=hadoop,dc=com”的密碼前需先確認該用戶沒有被鎖定，在集群主管理節點上執行如下命令：

                
說明
                
oldap端口查詢方法：
1.??? 登錄FusionInsight Manager，選擇“系統 > OMS > oldap > 修改配置”；
2.??? “Ldap服務監聽端口”參數值即為oldap端口。
ldapsearch -H ldaps://OMS浮動地址:OLdap端口 -LLL -x -D cn=pg_search_dn,ou=Users,dc=hadoop,dc=com -W -b cn=pg_search_dn,ou=Users,dc=hadoop,dc=com -e ppolicy
              

輸入LDAP用戶pg_search_dn的密碼，出現如下提示表示該用戶被鎖定，則需要解鎖用戶，具體請參見解鎖LDAP用戶和管理帳戶章節。

                
說明
                
LDAP用戶pg_search_dn的密碼為系統隨機生成，具體可在主節點的“/etc/sssd/sssd.conf”或“/etc/ldap.conf”文件中獲取。
ldap_bind: Invalid credentials (49); Account locked
              

操作步驟

1.登錄FusionInsight Manager，選擇“集群 > 待操作集群的名稱 > 服務 > LdapServer”。

2.選擇“更多 > 修改數據庫密碼”，在彈出窗口中輸入當前登錄的用戶密碼確認身份，單擊“確定”。

3.在“修改密碼”對話框的“用戶信息”中選擇需要修改密碼的用戶名。

4.在“舊密碼”輸入舊密碼，“新密碼”和“確認密碼”輸入新密碼。

默認密碼復雜度要求：

• 密碼字符長度為16～32位。
• 至少需要包含大寫字母、小寫字母、數字、特殊字符`~!@#$%^&*()-_=+|[{}];,<.>/?中的3種類型字符。
• 不可和用戶名相同或用戶名的倒序字符相同。
• 不可與當前密碼相同。

5.勾選“我已閱讀此信息并了解其影響”，單擊“確定”確認修改并重啟服務。