단일 복제본으로 FreeIPA 서버를 설정했습니다. 관리자 계정이 잠겨 있습니다. 이것은 다음의 로그입니다 kinit admin.
[root@idm-00 ~]# kinit admin
kinit: Client's credentials have been revoked while getting initial credentials
Jun 26 13:04:08 idm-00.<REDACTED> krb5kdc[288805](info): AS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes256-cts-hmac-sha384-192(20), camellia256-cts-cmac(26), aes128-cts-hmac-sha1-96(17), aes128-cts-hmac-sha256-128(19), camellia128-cts-cmac(25)}) <REDACTED>: LOCKED_OUT: admin@<REDACTED> for krbtgt/<REDACTED>@<REDACTED>, Client's credentials have been revoked
내 시스템에는 다른 관리자가 없지만 서버 자체에 대한 루트 액세스 권한은 있습니다.
이것으로부터 회복이 가능합니까?
답변1
모든 관리자 계정에 대한 액세스 권한이 완전히 상실된 경우 차선책은 LDAP 디렉터리 관리자 비밀번호를 사용하는 것입니다.admin계정 잠금 해제.
디렉토리 관리자 비밀번호가 없지만 FreeIPA 서버에 대한 루트 액세스 권한이 있는 경우 다음을 수행하는 데 중요한 프로세스가 있습니다.LDAP 디렉터리 관리자 비밀번호 재설정그런 다음새 디렉토리 관리자 비밀번호를 사용하도록 FreeIPA를 업데이트하세요.. 디렉터리 관리자 비밀번호가 있으면 계정을 잠금 해제할 수 있습니다 admin.
일부 참고 사항은 향후 이 문제를 완화할 수 있습니다.
등록된 서버에 공개적으로 액세스할 수 있는 FreeIPA 비트(UI, LDAP, SSH)가 있는 경우 해당 비트를 감지할 수 있을 가능성이 높습니다. 사용자는 기본적으로 활성화되어 있으므로 admin액세스 권한을 얻으려는 무차별 대입 시도가 여러 번 발생하여 계정이 잠기는 경우가 많습니다. 지속적으로 계정이 잠금 해제되는 것을 방지하려면 일반적으로 기본 계정을 비활성화하거나 삭제하고 해당 계정에 기본 계정이 아닌 사용자를 할당하는 것이 admin가장 좋습니다 .adminadmins
여러 관리자 또는 잠금 상태를 수정할 수 있는 권한이 있는 다른 사용자가 필요할 수도 있습니다. 이렇게 하면 더 쉬워집니다계정 잠금 해제최소한 한 명의 유능한 사용자가 있는 한.