web-dev-qa-db-ja.com

Linux:「rootによるパスワードのリセットはサポートされていません」...どのようにしてパスワードをリセットしますか?

私は小さなチームの「バックアップ」システム管理者であり、プライマリシステム管理者は利用できません。ラボのセットアップは少し新しいですが、セットアップ方法についてはまだ詳しくありません(Linuxのシステム管理者のスキルはおそらく少し古くなっています)。ユーザーのパスワードをリセットするように求められ、「すごい、それは単にpasswd -e usernameだ」と思った。残念ながら、これは私に与えます:

# /usr/bin/passwd jdoe
Changing password for user jdoe.
Password reset by root is not supported.
passwd: Authentication token manipulation error

最初は、代わりにldappasswdを使用するだけでよいと思っていましたが、LDAPを使用していないようです(/usr/bin/ldappasswdが存在せず、コマンドがシステムに見つかりません)。最後に、私は/etc/nsswitch.confをチェックし、これを見ました:

passwd:     files sss
shadow:     files sss
group:      files sss

追加情報:このシステム(および私のラボネットワークのほとんど)はCentOSリリース6.6で実行されています。

さて、私のLinuxスキルは少し不十分または錆びていると思います。 「sss」とは何ですか?また、このシステムで簡単なパスワードリセットを実行するにはどうすればよいですか?

更新情報: rootユーザーとしてパスワードをリセットしようとしています(そうですね、ラボの管理者向けにSudoではなくrootログインが有効になっている最高のセキュリティ設定ではありませんが、私は単なるバックアップです)男...私は試すことができます影響を与えます)。 /etc/sssd/sssd.confからの関連行のように見えるものは次のとおりです(私が言ったように、私はIPAのようないくつかのことに錆びています):

ipa_domain = sub.domain.mycompany.com
id_provider = ipa
auth_provider = ipa
ldap_autofs_entry_object_class = automount
access_provider = ipa
ipa_hostname = node6.sub.domain.mycompany.com
chpass_provider = ipa
ldap_autofs_entry_key = automountKey
ipa_server = ipa1.sub.domain.mycompany.com, ipa2.sub.domain.mycompany.com
linuxpasswordspassword-management
4
Ogre Psalm33

手がかりは、システムの/etc/nsswitch.confファイルがLinuxで ネームサービススイッチ 機能を構成するために使用されていることを知ることから始まります。ウィキペディアから:

ネームサービススイッチ(NSS)は、Unixのようなオペレーティングシステムの機能であり、一般的な構成データベースと名前解決メカニズムにさまざまなソースを提供します。これらのソースには、ローカルオペレーティングシステムファイル(/ etc/passwd、/ etc/group、/ etc/hostsなど)、ドメインネームシステム(DNS)、ネットワーク情報サービス(NIS)、およびLDAPが含まれます。

/etc/nsswitch.conf ファイルのこの行は、Linuxの「システムセキュリティサービス」(sss)がユーザーパスワードと関連機能のプロバイダーであることを示しています。

passwd:     files sss

次の手がかりは/etc/sssd/sssd.confの内容から来ています。 この構成ファイルのマニュアルページchpass_providerエントリについて教えてくれます。私にとってはそれはipaです。

chpass_provider = ipa

そして、この行は、どのサーバーがipaサービスの実行に責任があるかを知らせます:

ipa_server = ipa1.sub.domain.mycompany.com, ipa2.sub.domain.mycompany.com

最後に、ipa1.sub.domain.mycompany.comにログオンするだけで、ipaとLDAPが実際にインストールされていることがわかります。いくつかの賢明なインターネット検索のおかげで私はこれにたどり着きました IPAを介したパスワードの管理に関するRedhatページ

$ kinit admin
$ ipa user-mod jsmith --password

出来上がり!教訓:私のラボシステムは、(おそらく)非標準的な方法で構成されたサーバーのホッジポッドのようなものですが、知識のあるカップルが、あなたに正しい方向に向けて、パンくずをたどって、いくつかのインターネット検索を行うと、うまくいけば答えが明らかになります。

4
Ogre Psalm33