如果我们忘记了FreeIPA管理员密码，则可以始终将其重置为root用户。
本教程将使用sudo权限的根shell或者用户帐户在Linux上重置FreeIPA管理员密码。

请注意，要重置FreeIPA管理员密码，我们需要拥有一个目录管理器密码，如果没有，则必须在FarfIPA管理员密码之前重置目录管理器密码。

第1步：重置目录管理器密码(如果丢失)

如果我们知道目录管理器密码，则可以跳过此步骤。
使用sudo权限登录到root用户或者用户到FreeIPA服务器和关闭FreeIPA服务器。
如果服务器正在运行，并且我们将更改为主配置文件 dse.ldif，更改将会丢失。

sudo /sbin/stop-dirsrv <INSTANCE-NAME>

我们可以从中获取实例名称 /etc/dirsrv/slapd。
例子

sudo /sbin/stop-dirsrv DOMAIN-COM

停止服务后，生成新的哈希德目录管理密码。

sudo /usr/bin/pwdhash StrongPassword

代替 StrongPassword使用实际强密码。
在一代时，我们应该如下所示的

{SSHA512}x6XGO1wpxYFpNFZrirBjLUqXfepGtSKdR/Gv/2Pdx6uc5Apy4zDFNvGHpR8iJO4CLim4m/CIWaqfnfQ2XuUskhCK09w5zsnb

编辑389目录配置文件以设置新的哈希密码

sudo vim /etc/dirsrv/slapd-EXAMPLE-COM/dse.ldif

代替 EXAMPLE-COM使用正确的实例名称值。
搜索从中开始的行 nsslapd-rootpw，然后使用生成的密码值替换其值。

nsslapd-rootpw: {SSHA512}x6XGO1wpxYFpNFZrirBjLUqXfepGtSKdR/Gv/2Pdx6uc5Apy4zDFNvGHpR8iJO4CLim4m/CIWaqfnfQ2XuUskhCK09w5zsnb

完成后，重新启动389目录服务

/sbin/start-dirsrv <INSTANCE-NAME>

然后测试新密码

ldapsearch -x -D "cn=directory manager" -w newpassword -s base -b "" "objectclass=*"

第2步：在Linux上重置FreeIPA管理员密码

既然我们有目录管理器密码，我们应该准备重置FreeIPA管理员密码。

首先导出LDAP TLS证书路径

export LDAPTLS_CACERT=/etc/ipa/ca.crt

然后重置管理员密码

ldappasswd -ZZ -D 'cn=Directory Manager' -W -S \
uid=admin,cn=users,cn=accounts,dc=example,dc=com \
-H ldap://ldap.example.com

替换：使用可解析的FreeIPA Server HostName与域ComponentLDap.example.com

我们将被要求提供新的密码和目录管理器密码

New password:
Re-enter new password:
Enter LDAP Password:

应设置新的FreeIPA管理员密码，通过请求新的Kerberos票证进行测试：

# kinit admin
Password for Hyman@theitroad:

提供新设置的密码，然后按<ENTER>。
完成后，列出可用的门票以确认它正在工作

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: Hyman@theitroad
Valid starting Expires Service principal
10/17/2016 09:22:56 10/18/2016 09:22:50 krbtgt/Hyman@theitroad

如果访问FreeIPA登录页面，则应接受新密码进行身份验证。