使用 FreeIPA 完全锁定管理员帐户

使用 FreeIPA 完全锁定管理员帐户

我有一个使用单个副本设置的 FreeIPA 服务器。管理员帐户已被锁定。这是来自 a 的日志kinit admin

[root@idm-00 ~]# kinit admin
kinit: Client's credentials have been revoked while getting initial credentials

Jun 26 13:04:08 idm-00.<REDACTED> krb5kdc[288805](info): AS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192(20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) <REDACTED>: LOCKED_OUT: admin@<REDACTED> for krbtgt/<REDACTED>@<REDACTED>, Client's credentials have been revoked

我的系统上没有其他管理员用户,但我确实拥有服务器本身的根访问权限。

有可能从中恢复吗?

答案1

如果您完全无法访问所有管理员帐户,那么下一个最佳选择是使用 LDAP 目录管理器密码解锁admin帐户

如果您没有目录管理器密码,但您具有 FreeIPA 服务器的 root 访问权限,则有一个不简单的过程可以重置 LDAP 目录管理员密码进而更新 FreeIPA 以使用新的目录管理器密码。获得目录管理员密码后,您应该能够解锁该admin帐户。

一些注释可以在将来缓解这个问题:

如果您有任何可供任何注册服务器公开访问的 FreeIPA 位(UI、LDAP、SSH),那么它们很可能会被探测到。由于admin默认情况下启用用户,因此通常会进行多次暴力尝试来获取访问权限,从而锁定帐户。为了避免不断解锁帐户admin,通常最好禁用或删除默认admin帐户并将非默认用户分配为admins

您可能还需要多个管理员用户或有权修改锁定状态的另一用户。这使得更容易解锁帐户只要至少有一位有能力的用户可用。

相关内容