Сброс пароля администратора FreeIPA от имени пользователя root в Linux |
Если вы когда-нибудь забудете пароль администратора FreeIPA, вы всегда можете сбросить его как пользователь root. Это руководство поможет вам сбросить пароль администратора FreeIPA в Linux, используя корневую оболочку или учетную запись пользователя с привилегиями sudo.
Обратите внимание: для сброса пароля администратора FreeIPA вам необходимо иметь пароль диспетчера каталогов. В противном случае вам придется сбросить пароль диспетчера каталогов перед паролем администратора FreeIPA.
Шаг 1. Сброс пароля диспетчера каталогов (в случае утери)
Если вы знаете пароль диспетчера каталогов, вы можете пропустить этот шаг. Войдите в систему как пользователь root или пользователь с привилегиями sudo на вашем сервере FreeIPA и выключите сервер FreeIPA. Если сервер работает и вы вносите изменения в основной файл конфигурации dse.ldif, ваши изменения будут потеряны.
sudo /sbin/stop-dirsrv <INSTANCE-NAME>Вы можете получить имя своего экземпляра из /etc/dirsrv/slapd. Пример
sudo /sbin/stop-dirsrv DOMAIN-COMПосле остановки службы сгенерируйте новый хешированный пароль управления каталогом.
sudo /usr/bin/pwdhash StrongPasswordЗамените StrongPassword на свой действительный надежный пароль. При генерации вы должны получить такой вывод:
{SSHA512}x6XGO1wpxYFpNFZrirBjLUqXfepGtSKdR/Gv/2Pdx6uc5Apy4zDFNvGHpR8iJO4CLim4m/CIWaqfnfQ2XuUskhCK09w5zsnbОтредактируйте файл конфигурации каталога 389, чтобы установить новый хешированный пароль.
sudo vim /etc/dirsrv/slapd-EXAMPLE-COM/dse.ldifЗамените EXAMPLE-COM правильным значением имени экземпляра. Найдите строку, начинающуюся с nsslapd-rootpw, затем замените ее значение сгенерированным значением пароля.
nsslapd-rootpw: {SSHA512}x6XGO1wpxYFpNFZrirBjLUqXfepGtSKdR/Gv/2Pdx6uc5Apy4zDFNvGHpR8iJO4CLim4m/CIWaqfnfQ2XuUskhCK09w5zsnbКогда закончите, перезапустите службу каталогов 389.
sudo /sbin/start-dirsrv <INSTANCE-NAME>Затем проверьте свой новый пароль
sudo ldapsearch -x -D "cn=directory manager" -w newpassword -s base -b "" "objectclass=*"Шаг 2. Сброс пароля администратора FreeIPA в Linux
Теперь, когда у вас есть пароль диспетчера каталогов, вы должны быть готовы сбросить пароль администратора FreeIPA.
Начните с экспорта пути сертификата LDAP TLS.
export LDAPTLS_CACERT=/etc/ipa/ca.crtЗатем сбросьте пароль администратора
sudo ldappasswd -ZZ -D 'cn=Directory Manager' -W -S \
uid=admin,cn=users,cn=accounts,dc=example,dc=com \
-H ldap://ldap.example.comЗаменять :
- example и com с компонентами вашего домена
- ldap.example.com с вашим разрешимым именем хоста сервера FreeIPA.
Вам будет предложено предоставить новый пароль и пароль диспетчера каталогов.
New password:
Re-enter new password:
Enter LDAP Password:Должен быть установлен новый пароль администратора FreeIPA. Проверьте его, запросив новый билет Kerberos:
$ kinit admin
Password for [email :Введите новый пароль и нажмите
$ klist
Ticket cache: KEYRING:persistent:0:0
Default principal: [email
Valid starting Expires Service principal
10/17/2018 09:22:56 10/18/2018 09:22:50 krbtgt/[email Если вы заходите на страницу входа в FreeIPA, новый пароль должен быть принят для аутентификации.
Благодарим за использование нашего руководства по сбросу пароля администратора FreeIPA. Проверьте установку руководств сервера FreeIPA:
- Установите сервер FreeIPA в Ubuntu
- Настройка клиента FreeIPA в Ubuntu/CentOS 7
- Запуск сервера FreeIPA в контейнерах Docker/Podman
- Как настроить аутентификацию Jenkins FreeIPA LDAP
- Настройка аутентификации GitLab FreeIPA LDAP