我有一个使用单个副本设置的 FreeIPA 服务器。管理员帐户已被锁定。这是来自 a 的日志kinit admin
:
[root@idm-00 ~]# kinit admin
kinit: Client's credentials have been revoked while getting initial credentials
Jun 26 13:04:08 idm-00.<REDACTED> krb5kdc[288805](info): AS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192(20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) <REDACTED>: LOCKED_OUT: admin@<REDACTED> for krbtgt/<REDACTED>@<REDACTED>, Client's credentials have been revoked
我的系统上没有其他管理员用户,但我确实拥有服务器本身的根访问权限。
有可能从中恢复吗?
答案1
如果您完全无法访问所有管理员帐户,那么下一个最佳选择是使用 LDAP 目录管理器密码解锁admin
帐户。
如果您没有目录管理器密码,但您具有 FreeIPA 服务器的 root 访问权限,则有一个不简单的过程可以重置 LDAP 目录管理员密码进而更新 FreeIPA 以使用新的目录管理器密码。获得目录管理员密码后,您应该能够解锁该admin
帐户。
一些注释可以在将来缓解这个问题:
如果您有任何可供任何注册服务器公开访问的 FreeIPA 位(UI、LDAP、SSH),那么它们很可能会被探测到。由于admin
默认情况下启用用户,因此通常会进行多次暴力尝试来获取访问权限,从而锁定帐户。为了避免不断解锁帐户admin
,通常最好禁用或删除默认admin
帐户并将非默认用户分配为admins
。
您可能还需要多个管理员用户或有权修改锁定状态的另一用户。这使得更容易解锁帐户只要至少有一位有能力的用户可用。