20.7. 管理目录管理器密码

Directory Manager 是特权数据库管理员,类似于 Linux 中的 root 用户。Directory Manager 条目和对应的密码是在实例安装过程中设置的。
目录管理器的默认可分辨名称(DN)是 cn=Directory Manager

20.7.1. 重置目录管理器密码

如果您丢失了 Directory Manager 密码,请重置它:
  1. 停止 Directory 服务器实例:
    # dsctl instance_name stop
  2. 生成新的密码哈希。例如:
    # pwdhash -D /etc/dirsrv/slapd-instance_name password
    {PBKDF2_SHA256}AAAgABU0bKhyjY53NcxY33ueoPjOUWtl4iyYN5uW...
    指定目录服务器配置的路径会自动使用 nsslapd-rootpwstoragescheme 属性中设置的密码存储方案来加密新密码。
  3. 编辑 /etc/dirsrv/slapd-instance_name/dse.ldif 文件,并将 nsslapd-rootpw 属性设置为上一步中显示的值:
    nsslapd-rootpw: {PBKDF2_SHA256}AAAgABU0bKhyjY53NcxY33ueoPjOUWtl4iyYN5uW...
  4. 启动 Directory 服务器实例:
    # dsctl instance_name start

20.7.2. 更改目录管理器密码

本节论述了如何更改目录管理器帐户的密码。

20.7.2.1. 使用命令行更改目录管理器密码

使用以下选项之一设置新密码:
重要
仅使用加密连接设置密码。使用未加密的连接可以将密码公开给网络。如果您的服务器不支持加密的连接,请使用 Web 控制台更新 Directory Manager 密码。请参阅 第 20.7.2.2 节 “使用 Web 控制台更改目录管理器密码”
  • nsslapd-rootpw 参数设置为纯文本值,目录服务器会自动加密:
    # dsconf -D "cn=Directory Manager" ldaps://server.example.com config replace nsslapd-rootpw=password
    警告
    不要在密码中使用大括号({})。目录服务器以 {password-storage-scheme}hashed_password 格式存储密码。服务器将大括号中的字符解释为密码存储方案。如果字符串是无效的存储方案,或者密码没有正确哈希,则目录管理器无法连接到服务器。
  • 要手动加密密码并在 nsslapd-rootpw 参数中对其进行设置:
    1. 生成新的密码哈希。例如:
      # pwdhash -D /etc/dirsrv/slapd-instance_name password
      {PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty...
      指定目录服务器配置的路径会自动使用 nsslapd-rootpwstoragescheme 属性中设置的密码存储方案来加密新密码。
    2. 使用安全连接(STARTTLS)将 nsslapd-rootpw 属性设置为上一步中显示的值:
      # dsconf -D "cn=Directory Manager" ldaps://server.example.com config replace nsslapd-rootpw="{PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty..."

20.7.2.2. 使用 Web 控制台更改目录管理器密码

作为管理员,执行这些步骤以更改密码:
  1. 在 web 控制台中打开 Directory Server 用户界面。请参阅 第 1.4 节 “使用 Web 控制台登录到目录服务器”
  2. 选择实例。
  3. 打开 Server Settings 菜单,然后选择 Server Settings
  4. 打开 Directory Manager 选项卡。
  5. Directory Manager PasswordConfirm Password 字段中输入新密码
  6. 另外,还可设置不同的密码存储方案。
  7. 点击 Save

20.7.3. 更改目录管理器密码存储主题

密码存储方案指定目录服务器使用哪个算法哈希密码。要使用命令行更改存储方案,您的服务器必须支持加密的连接。如果您的服务器不支持加密的连接,请使用 Web 控制台来设置存储方案。请参阅 第 20.7.3.2 节 “使用 Web 控制台更改目录管理器密码存储主题”
请注意,目录管理器(nsslapd-rootpwstoragescheme)的存储方案可能与用于加密用户密码的方案(nsslapd-pwstoragescheme)不同。
有关支持的密码存储方案列表,请参阅 红帽目录服务器配置、命令和文件参考中的相应部分
注意
如果更改了目录管理器的密码存储方案,还必须重置其密码。现有密码无法重新加密。

20.7.3.1. 使用命令行更改目录管理器密码存储主题

如果您的服务器支持加密连接,请执行以下步骤来更改密码存储方案:
  1. 生成使用新存储方案的新密码哈希。例如:
    # pwdhash -s PBKDF2_SHA256 password
    {PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty...
  2. nsslapd-rootpwstoragescheme 属性设置为存储 scheme,将 nsslapd-rootpw 属性设置为在前一个步骤中显示的值,使用安全连接 (STARTTLS):
    # dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-rootpwstoragescheme=PBKDF2_SHA256 nsslapd-rootpw="{PBKDF2_SHA256}AAAgAMwPYIhEkQozTagoX6RGG5E7d6/6oOJ8TVty..."

20.7.3.2. 使用 Web 控制台更改目录管理器密码存储主题

执行这些步骤,使用 Web 控制台更改密码:
  1. 在 web 控制台中打开 Directory Server 用户界面。请参阅 第 1.4 节 “使用 Web 控制台登录到目录服务器”
  2. 选择实例。
  3. 打开 Server Settings 菜单,然后选择 Server Settings
  4. 打开 Directory Manager 选项卡。
  5. 设置密码存储方案。
  6. 目录服务器无法使用新的存储方案重新加密当前密码。因此,在 Directory Manager PasswordConfirm Password 字段中输入新密码。
  7. 单击 Save Configuration

20.7.4. 更改目录管理器 DN

作为管理员,执行以下步骤将目录管理器 DN 更改为 cn=New Directory Manager
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-rootdn="cn=New Directory Manager"
请注意,目录服务器只支持使用命令行更改目录管理器 DN。