操作场景

若服务出现异常状态，有可能是系统内部用户被锁定，请及时解锁，否则会影响集群正常运行。系统内部用户列表请参见用户信息一览表。系统内部用户无法使用FusionInsight Manager解锁。

前提条件

根据用户信息一览表获取LDAP管理员“cn=root,dc=hadoop,dc=com”的默认密码。

操作步骤

• 使用以下方法确认系统内部用户是否被锁定：
  • 查询oldap端口：
    • 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”。
    • “Ldap服务监听端口”参数值即为oldap端口。
  • 查询域名方法：
    • 登录FusionInsight Manager，选择“系统 > 权限 > 域和互信”。
    • “本端域”参数即为域名。

      例如当前系统域名为“9427068F-6EFA-4833-B43E-60CB641E5B6C.COM”。

  • 在集群内节点上以omm用户执行以下命令查询密码认证失败次数：

    ldapsearch -H ldaps://OMS浮动IP地址:OLdap端口 -LLL -x -D cn=root,dc=hadoop,dc=com -b krbPrincipalName=系统内部用户名@当前域名,cn=当前域名,cn=krbcontainer,dc=hadoop,dc=com -w LDAP管理员密码 -e ppolicy | grep krbLoginFailedCount

    例如，查看oms/manager用户认证失败次数：

    ldapsearch -H ldaps://10.5.146.118:21750 -LLL -x -D cn=root,dc=hadoop,dc=com -b krbPrincipalName=oms/manager@9427068F-6EFA-4833-B43E-60CB641E5B6C.COM,cn=9427068F-6EFA-4833-B43E-60CB641E5B6C.COM,cn=krbcontainer,dc=hadoop,dc=com -w LdapChangeMe@123 -e ppolicy | grep krbLoginFailedCount

    krbLoginFailedCount: 5

  • 登录FusionInsight Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。
  • 查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。
    说明：

    查看运行日志，也可以确认系统内部用户是否被锁定。

• 以omm用户登录主管理节点，执行以下命令解锁。

  sh ${BIGDATA_HOME}/om-server/om/share/om/acs/config/unlockuser.sh --userName 系统内部用户名

  例如，sh ${BIGDATA_HOME}/om-server/om/share/om/acs/config/unlockuser.sh --userName oms/manager