操作場景

建議管理員定期修改集群LDAP管理帳戶“cn=krbkdc,ou=Users,dc=hadoop,dc=com”和“cn=krbadmin,ou=Users,dc=hadoop,dc=com”的密碼，以提升系統運維安全性。

對系統的影響

• 修改密碼后需要重啟KrbServer服務。
• 修改密碼后需要確認LDAP管理帳戶“cn=krbkdc,ou=Users,dc=hadoop,dc=com”和“cn=krbadmin,ou=Users,dc=hadoop,dc=com”是否被鎖定，在集群主管理節點上執行如果下命令查看krbkdc是否被鎖定（krbadmin用戶方法類似）：

                
說明
                
oldap端口查詢方法：
1.??? 登錄FusionInsight Manager，選擇“系統 > OMS > oldap > 修改配置”；
2.??? “Ldap服務監聽端口”參數值即為oldap端口。
ldapsearch -H ldaps://OMS_FLOAT_ IP地址:OLdap端口 -LLL -x -D cn=krbkdc,ou=Users,dc=hadoop,dc=com -W -b cn=krbkdc,ou=Users,dc=hadoop,dc=com -e ppolicy
              

輸入LDAP管理帳戶krbkdc的密碼，出現如下提示表示該用戶被鎖定，則需要解鎖用戶，具體請參見解鎖LDAP用戶和管理帳戶。

ldap_bind: Invalid credentials (49); Account locked

前提條件

已確認主管理節點IP地址。

操作步驟

1.以omm用戶通過管理節點IP登錄主管理節點。

2.執行以下命令，切換到目錄。

cd ${BIGDATA_HOME}/om-server/om/meta-0.0.1-SNAPSHOT/kerberos/scripts

3.執行以下命令，修改LDAP管理帳戶密碼。

./okerberos_modpwd.sh

輸入舊密碼后，再輸入兩次新密碼。

密碼復雜度要求：

• 密碼字符長度為16～32位。
• 至少需要包含大寫字母、小寫字母、數字、特殊字符`~!@#$%^&*()-_=+|[{}];,<.>/?中的3種類型字符。
• 不可與當前密碼相同。

顯示如下結果，說明修改成功：

Modify kerberos server password successfully.

4.登錄FusionInsight Manager，選擇“集群 > 待操作集群的名稱 > 服務 > KrbServer > 更多 > 重啟服務”。

驗證用戶身份后不勾選“同時重啟上層服務”，單擊“確定”重啟KrbServer服務。