単一のレプリカとしてFreeIPAサーバーを設定しました。管理者アカウントがロックされています。これは次のログですkinit admin
。
[root@idm-00 ~]# kinit admin
kinit: Client's credentials have been revoked while getting initial credentials
Jun 26 13:04:08 idm-00.<REDACTED> krb5kdc[288805](info): AS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192(20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) <REDACTED>: LOCKED_OUT: admin@<REDACTED> for krbtgt/<REDACTED>@<REDACTED>, Client's credentials have been revoked
私のシステムには他の管理者はいませんが、サーバー自体へのrootアクセス権があります。
これから回復できますか?
答え1
すべての管理者アカウントへのアクセス権が完全に失われた場合、最適なのはLDAPディレクトリ管理者パスワードを使用することです。admin
アカウントのロック解除。
ディレクトリ管理者パスワードがないがFreeIPAサーバーへのrootアクセス権がある場合は、次のことを行うための重要なプロセスがあります。LDAP ディレクトリ管理者パスワードのリセットそれから新しいディレクトリマネージャのパスワードを使用するようにFreeIPAを更新してください。。ディレクトリ管理者パスワードがあれば、アカウントのロックを解除できますadmin
。
一部の注意事項は今後この問題を軽減する可能性があります。
登録されたサーバーに公的にアクセスできるFreeIPAビット(UI、LDAP、SSH)がある場合、そのビットを検出できる可能性が高くなります。ユーザーはデフォルトで有効になっているため、admin
アクセス権を取得しようとする無差別代入が複数回発生し、アカウントがロックされることがよくあります。アカウントが常にロック解除されないようにするには、通常はデフォルトアカウントを無効または削除し、そのアカウントにデフォルトアカウントではなくユーザーを割り当てることをお勧めしますadmin
。admin
admins
複数の管理者またはロック状態を変更する権限を持つ他のユーザーが必要な場合があります。これにより簡単になりますアカウントのロック解除少なくとも1人の有能なユーザーがいる限り。