20.7. 管理目录管理器密码
Directory Manager 是特权数据库管理员,类似于 Linux 中的
root 用户。Directory Manager 条目和对应的密码是在实例安装过程中设置的。
目录管理器的默认可分辨名称(DN)是
cn=Directory Manager。
20.7.1. 重置目录管理器密码
如果您丢失了 Directory Manager 密码,请重置它:
- 停止 Directory 服务器实例:
# dsctl instance_name stop
- 生成新的密码哈希。例如:
# pwdhash -D /etc/dirsrv/slapd-instance_name password {PBKDF2_SHA256}AAAgABU0bKhyjY53NcxY33ueoPjOUWtl4iyYN5uW...指定目录服务器配置的路径会自动使用nsslapd-rootpwstoragescheme属性中设置的密码存储方案来加密新密码。 - 编辑
/etc/dirsrv/slapd-instance_name/dse.ldif文件,并将nsslapd-rootpw属性设置为上一步中显示的值:nsslapd-rootpw: {PBKDF2_SHA256}AAAgABU0bKhyjY53NcxY33ueoPjOUWtl4iyYN5uW... - 启动 Directory 服务器实例:
# dsctl instance_name start
20.7.2. 更改目录管理器密码
本节论述了如何更改目录管理器帐户的密码。
20.7.2.1. 使用命令行更改目录管理器密码
使用以下选项之一设置新密码:
重要
仅使用加密连接设置密码。使用未加密的连接可以将密码公开给网络。如果您的服务器不支持加密的连接,请使用 Web 控制台更新 Directory Manager 密码。请参阅 第 20.7.2.2 节 “使用 Web 控制台更改目录管理器密码”。
- 将
nsslapd-rootpw参数设置为纯文本值,目录服务器会自动加密:# dsconf -D "cn=Directory Manager" ldaps://server.example.com config replace nsslapd-rootpw=password
警告不要在密码中使用大括号({})。目录服务器以 {password-storage-scheme}hashed_password 格式存储密码。服务器将大括号中的字符解释为密码存储方案。如果字符串是无效的存储方案,或者密码没有正确哈希,则目录管理器无法连接到服务器。 - 要手动加密密码并在
nsslapd-rootpw参数中对其进行设置:- 生成新的密码哈希。例如:
# pwdhash -D /etc/dirsrv/slapd-instance_name password {PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty...指定目录服务器配置的路径会自动使用nsslapd-rootpwstoragescheme属性中设置的密码存储方案来加密新密码。 - 使用安全连接(STARTTLS)将
nsslapd-rootpw属性设置为上一步中显示的值:# dsconf -D "cn=Directory Manager" ldaps://server.example.com config replace nsslapd-rootpw="{PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty..."
20.7.2.2. 使用 Web 控制台更改目录管理器密码
作为管理员,执行这些步骤以更改密码:
- 在 web 控制台中打开 Directory Server 用户界面。请参阅 第 1.4 节 “使用 Web 控制台登录到目录服务器”。
- 选择实例。
- 打开 菜单,然后选择 Server Settings。
- 打开 Directory Manager 选项卡。
- 在 Directory Manager Password 和 Confirm Password 字段中输入新密码
- 另外,还可设置不同的密码存储方案。
- 点击 。
20.7.3. 更改目录管理器密码存储主题
密码存储方案指定目录服务器使用哪个算法哈希密码。要使用命令行更改存储方案,您的服务器必须支持加密的连接。如果您的服务器不支持加密的连接,请使用 Web 控制台来设置存储方案。请参阅 第 20.7.3.2 节 “使用 Web 控制台更改目录管理器密码存储主题”。
请注意,目录管理器(
nsslapd-rootpwstoragescheme)的存储方案可能与用于加密用户密码的方案(nsslapd-pwstoragescheme)不同。
有关支持的密码存储方案列表,请参阅 红帽目录服务器配置、命令和文件参考中的相应部分。
注意
如果更改了目录管理器的密码存储方案,还必须重置其密码。现有密码无法重新加密。
20.7.3.1. 使用命令行更改目录管理器密码存储主题
如果您的服务器支持加密连接,请执行以下步骤来更改密码存储方案:
- 生成使用新存储方案的新密码哈希。例如:
# pwdhash -s PBKDF2_SHA256 password {PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty... - 将
nsslapd-rootpwstoragescheme属性设置为存储 scheme,将nsslapd-rootpw属性设置为在前一个步骤中显示的值,使用安全连接 (STARTTLS):# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-rootpwstoragescheme=PBKDF2_SHA256 nsslapd-rootpw="{PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty..."
20.7.3.2. 使用 Web 控制台更改目录管理器密码存储主题
执行这些步骤,使用 Web 控制台更改密码:
- 在 web 控制台中打开 Directory Server 用户界面。请参阅 第 1.4 节 “使用 Web 控制台登录到目录服务器”。
- 选择实例。
- 打开 菜单,然后选择 Server Settings。
- 打开 Directory Manager 选项卡。
- 设置密码存储方案。
- 目录服务器无法使用新的存储方案重新加密当前密码。因此,在 Directory Manager Password 和 Confirm Password 字段中输入新密码。
- 单击 。
20.7.4. 更改目录管理器 DN
作为管理员,执行以下步骤将目录管理器 DN 更改为
cn=New Directory Manager :
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-rootdn="cn=New Directory Manager"
请注意,目录服务器只支持使用命令行更改目录管理器 DN。
