Setzen Sie das Passwort für das krbtgt-Konto zurück

Sichern Sie Ihr Simple AD AD-Verzeichnis

In diesem Abschnitt werden Überlegungen zur Sicherung Ihrer Simple AD AD-Umgebung beschrieben.

Themen

So setzen Sie ein Simple AD krbtgt-Kontopasswort zurück

So setzen Sie ein Simple AD krbtgt-Kontopasswort zurück

Das krbtgt-Konto spielt beim Kerberos-Ticketaustausch eine wichtige Rolle. Weitere Informationen finden Sie in der Samba-Dokumentation. Es wird empfohlen, dieses Passwort regelmäßig alle 90 Tage zu ändern.

Sie können das Passwort für das krbtgt-Konto von einer der folgenden mit Simple AD verbundenen Instanzen zurücksetzen:

Amazon EC2 Windows
Amazon EC2 Linux

Anmerkung

AWS Simple AD wird von Samba-AD unterstützt. Samba-AD speichert keinen N-1-Hash für das krbtgt-Konto. Wenn das Passwort für das krbtgt-Konto zurückgesetzt wird, muss der Kerberos-Client daher bei seiner nächsten Service Ticket (ST) -Anfrage ein neues Ticket Granting Ticket (TGT) aushandeln. Um mögliche Serviceunterbrechungen zu minimieren, sollten Sie das Zurücksetzen des Kennworts für das krbtgt-Konto außerhalb der Geschäftszeiten planen. Dieser Ansatz minimiert die Auswirkungen auf den laufenden Betrieb und gewährleistet eine reibungslose Kontinuität der Authentifizierung.

Die folgenden Verfahren zeigen, wie Sie das Passwort für das krbtgt-Konto von einer EC2 Windows oder einer Linux-Instance aus zurücksetzen können.

Voraussetzungen

Bevor Sie mit diesem Verfahren beginnen können, gehen Sie wie folgt vor:
- Sie haben eine EC2 Instanz mit Ihrem Simple AD AD-Verzeichnis über eine Domain verknüpft.
  - Weitere Informationen zum Hinzufügen einer EC2 Windows Instance zu einem Simple AD finden Sie unterFügen Sie eine Amazon EC2 Windows-Instance nahtlos zu Ihrem Simple AD Active Directory hinzu.
  - Weitere Informationen zum Hinzufügen einer EC2 Linux-Instance zu einem Simple AD finden Sie unterFügen Sie eine Amazon EC2 Linux-Instance nahtlos zu Ihrem Simple AD Active Directory hinzu.
- Sie haben die Administratoranmeldedaten für das Simple AD AD-Verzeichnis. Für dieses Verfahren melden Sie sich als Simple AD AD-Verzeichnisadministrator an.

Amazon EC2 Windows Instance

Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie in der EC2 Amazon-Konsole Instances und dann die Windows Server-Instance aus. Wählen Sie dann Verbinden aus.
Wählen Sie auf der Seite Mit Instanz verbinden die Option RDPClient aus.
Kopieren Sie im Dialogfeld Windows-Sicherheit Ihre lokalen Administratoranmeldeinformationen für den Windows Servercomputer, um sich anzumelden. Der Benutzername kann die folgenden Formate haben: NetBIOS-Name\administrator oderDNS-Name\administrator. Dies corp\administrator wäre beispielsweise der Benutzername, wenn Sie das Verfahren in befolgen würdenErstellen Sie Ihr Simple AD Active Directory.
Nachdem Sie sich am Windows Servercomputer angemeldet haben, öffnen Sie im Startmenü die Option WindowsVerwaltung, indem Sie den Ordner WindowsVerwaltungstools auswählen.
Öffnen Sie im Dashboard mit den Windows Verwaltungstools die Active DirectoryOption Benutzer und Computer, indem Sie Active DirectoryBenutzer und Computer auswählen.
Wählen Sie im Fenster „Active DirectoryBenutzer und Computer“ die Option „Ansicht“ und dann „Erweiterte Funktionen aktivieren“.
Wählen Sie im Fenster „Active DirectoryBenutzer und Computer“ im linken Bereich die Option Benutzer aus.
Suchen Sie den Benutzer mit dem Namen krbtgt, klicken Sie mit der rechten Maustaste darauf und wählen Sie Passwort zurücksetzen.
Geben Sie im neuen Fenster das neue Passwort ein, geben Sie es erneut ein und wählen Sie dann OK, um das Passwort für das krbtgt-Konto zurückzusetzen.

Amazon EC2 Linux Instance

Stellen Sie mithilfe eines SSH Clients mit Administratoranmeldedaten eine Connect zu der Amazon EC2 Linux-Instance her, der der Domain beigetreten ist.
Erstellen Sie eine LDIF-Datei mit dem Namen change_krbtgt_password.ldif der Instance mit dem folgenden Inhalt:
```
dn: CN=krbtgt,CN=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: BASE64_ENCODED_NEW_PASSWORD
```
Anmerkung
Stellen Sie sicher, dass Sie die folgenden Änderungen an der LDIF-Datei vornehmen, damit sie zu Ihrer Umgebung passt: Active Directory
- Ersetzen example and com für DC mit Ihren Domaininformationen.
- Ersetzen BASE64_ENCODED_NEW_PASSWORD mit einem Passwort, das im UTF -16-Format und dann im Base64-Format codiert ist. Dies ist notwendig, um die Anforderungen für die Aktualisierung Active Directory von Passwörtern zu erfüllen.
Im Folgenden finden Sie ein Beispiel dafür, wie Sie das Passwort mit den UTF Linux-Command-LI-Tools in -16 und Base64 codieren können:
```
echo -n '"new-desired-password"' | iconv -t utf16le | base64
white_check_markeyesraised_hands
```
Stellen Sie sicher, dass Sie es ersetzen new-desired-password mit Ihrem bevorzugten neuen Passwort, um sicherzustellen, dass es den von Simple AD festgelegten Anforderungen an die Passwortrichtlinie entspricht.
Führen Sie den folgenden ldapmodify Befehl mit der folgenden LDIF-Datei aus, um die Kennwortänderung zu übernehmen. Während der Ausführung dieses Befehls werden Sie aufgefordert, das Administratorkennwort einzugeben.
```
ldapmodify -H ldap://your_ldap_server -D "CN=Administrator,CN=Users,DC=example,DC=com" -W -f change_krbtgt_password.ldif
```
Stellen Sie sicher, dass Sie ersetzen ldap://your_ldap_server mit deinem LDAP Server URL und DC=example,DC=com mit Ihren Domain-Informationen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Vorgehensweise

Verwalten von Benutzern und Gruppen