Здравствуйте, уважаемые читатели моего блога!
Сегодняшняя заметка будет небольшая, но я уверен, что начинающим пользователям FreeIPA и Astra Linux она будет полезна.
Пролог
Ушёл в отпуск на зимних праздниках, оставив пароли замещающему меня товарищу и спокойно отдыхал, пока мне не поступил звонок, начинающийся, как всегда, со слов “Всё пропало!”.
А именно – “не входит во все доменные учётные записи”.
Неужели сервер лёг – подумал я. Пришёл на работу, первым делом проверил наличие оповещений от Zabbix – всё было в порядке.
К слову, подобный симптом, когда все доменные учётные записи перестают функционировать может быть связан с тремя популярными причинами – отсутствие сетевого соединения с сервером в сети, сбитое системное время и смерть демона ipa (если, конечно, не включено кеширование паролей, в этом случае пользователи зайдут в учётные записи, но ресурсы, завязанные на Kerberos, работать перестанут).
Но всё это было не моим случаем, и слава богу. Посмотрел auth.log и увидел традиционное “Доступ запрещен”. Т.е. либо пароль не подходит, либо пользователь заблокирован.
В таких случаях, я выполняю:
kinit marukhin@MARUKHIN.RU
Если выдаёт ошибку – учётная запись заблокирована. Если приглашает ввести пароль, проверяю пароль на правильность, предлагая пользователю его ввести в консоли (команда завершилась без ошибок и билет керберос получен – дело не в пароле, если команда после ввода пароля выполнилась с ошибкой, пользователь банально забыл пароль).
Не так давно подход к блокировкам учётных записей стал жестче, после N-го количества попыток учётная запись блокируется намертво (я противник такого подхода, но не я его определяю).
В простом случае нужно открыть WEB интерфейс FreeIPA и, выбрав пользователя, нажать на соответствующую кнопку – разблокировать.
Но в моём случае доступ к WEB интерфейсу был утерян.
Я администрирую Astra Linux довольно давно, и застал времена чистого ALD (который был не PRO), поэтому знал простой способ сброса с использованием Керберос, а точнее – команды kadmin.local.
Напомню, что если этот блог Вам помог, помогите и Вы его развитию.
Для этого отправьте любую сумму, используя форму ниже.
Сброс пароля (разблокирование) доменного администратора FreeIPA
Процесс сброса пароля доменного администратора FreeIPA, ровно как и любого другого пользователя, тривиален.
Заходим на FreeIPA сервер через ssh или графический интерфейс (КАРЛ! Мы забыли пароль от сервера? Тогда нам сюда – ссылка):
ssh admin@server1
Запускаем утилиту kadmin.local:
sudo kadmin.local
Получим сведения о доменной учётной записи:
getprinc admin
Разблокируем учётную запись:
modprinc -unlock admin
Сменим пароль учётной записи:
change_password admin
Выйдем из оболочки kadmin комбинацией клавиш Ctrl + D.
Проверим правильность ввода пароля:
kinit admin
Введём пароль, если всё отлично, переходим в WEB интерфейс FreeIPA.
На этом всё, как видите, ничего сложного!
Вот пример этой операции на практике, для лучшего восприятия.
Всем хорошего времени суток и до новых встреч!
