View a markdown version of this page

Sécurisez votre annuaire Simple AD - AWS Directory Service
Réinitialiser le mot de passe du compte krbtgt

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurisez votre annuaire Simple AD

Cette section décrit les considérations relatives à la sécurisation de votre environnement Simple AD.

Comment réinitialiser le mot de passe d'un compte Simple AD krbtgt

Le compte krbtgt joue un rôle important dans les échanges de billets Kerberos. Le compte krbtgt est un compte spécial utilisé pour le chiffrement des tickets d'octroi de tickets (TGT) Kerberos, et il joue un rôle crucial dans la sécurité du protocole d'authentification Kerberos. Dans Samba AD, krbtgt est représenté comme un compte utilisateur (désactivé). Le mot de passe de ce compte est généré de manière aléatoire au moment de la mise en service du domaine. L'accès à ce secret peut entraîner une compromission totale indétectable du domaine, car les nouveaux tickets Kerberos peuvent être imprimés sans audit. Pour plus d'informations, consultez la documentation de Samba.

Il est recommandé de changer ce mot de passe régulièrement tous les 90 jours. Vous pouvez réinitialiser le mot de passe du compte krbtgt à partir d'une instance Amazon Windows EC2 jointe à votre Simple AD.

Note

AWS Simple AD est développé par Samba-AD. Samba-AD ne stocke pas le hachage N-1 pour le compte krbtgt. Par conséquent, lorsque le mot de passe du compte krbtgt est réinitialisé, le client Kerberos devra négocier un nouveau ticket d'octroi de ticket (TGT) lors de sa prochaine demande de service ticket (ST). Pour minimiser les interruptions de service potentielles, vous devez planifier la réinitialisation du mot de passe du compte krbtgt en dehors des heures de bureau. Cette approche atténue les impacts sur les opérations en cours et garantit une continuité d'authentification fluide.

Les procédures suivantes montrent comment réinitialiser le mot de passe du compte krbtgt à partir d'une instance Amazon Windows EC2.

Conditions préalables

  • Avant de commencer cette procédure, effectuez les opérations suivantes :

    • Vous avez joint un domaine à une instance EC2 à votre annuaire Simple AD.

    • Vous disposez des informations d'identification de l'administrateur de l'annuaire Simple AD. Vous allez vous connecter en tant qu'administrateur de l'annuaire Simple AD pour cette procédure.

Note

Certains, Services AWS comme Amazon WorkDocs et Amazon WorkSpaces, créeront un Simple AD en votre nom.

Réinitialiser le mot de passe du compte Simple AD krbtgt

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la console Amazon EC2, choisissez Instances et sélectionnez l'instance de Windows serveur. Choisissez ensuite Connect (Connecter).

  3. Dans la page Se connecter à l'instance, sélectionnez Client RDP.

  4. Dans la boîte de dialogue de sécurité Windows, copiez vos informations d'identification d'administrateur local pour que l'ordinateur Windows serveur puisse se connecter. Le nom d'utilisateur peut être dans les formats suivants : NetBIOS-Name\administrator ouDNS-Name\administrator. Par exemple, corp\administrator ce serait le nom d'utilisateur si vous avez suivi la procédure dansCréez votre Simple AD.

  5. Une fois connecté à l'ordinateur Windows serveur, ouvrez les outils d'Windowsadministration dans le menu Démarrer en choisissant le dossier Outils d'Windowsadministration.

    Le menu Démarrer de Windows affiche le dossier Outils d'administration Windows agrandi avec les outils système.

  6. Dans le tableau de bord des outils d'Windowsadministration, ouvrez Utilisateurs et ordinateurs Active Directory en choisissant Utilisateur et ordinateurs Active Directory.

    Dossier Outils d'administration Windows contenant le raccourci Utilisateurs et ordinateurs Active Directory.

  7. Dans la fenêtre Utilisateurs et ordinateurs Active Directory, sélectionnez Afficher, puis sélectionnez Activer les fonctionnalités avancées.

    Afficher le menu avec l'option Fonctionnalités avancées sélectionnée.

  8. Dans la fenêtre Utilisateurs et ordinateurs Active Directory, sélectionnez Utilisateurs dans le panneau de gauche.

    Arborescence de navigation Utilisateurs et ordinateurs Active Directory avec le dossier Utilisateurs surligné.

  9. Trouvez l'utilisateur nommé krbtgt, cliquez dessus avec le bouton droit de la souris et sélectionnez Réinitialiser le mot de passe.

    Menu contextuel avec option de réinitialisation du mot de passe surlignée.

  10. Dans la nouvelle fenêtre, entrez le nouveau mot de passe, saisissez-le à nouveau, puis cliquez sur OK pour réinitialiser le mot de passe du compte krbtgt.

    Boîte de dialogue de réinitialisation du mot de passe avec champs de mot de passe, options de case à cocher et boutons OK et Annuler.

  11. Dans le tableau de bord des outils d'Windowsadministration, sélectionnez Sites et services Active Directory.

    Dossier d'outils d'administration affichant les sites et services Active Directory, entre autres raccourcis.

  12. Dans la fenêtre Sites et services Active Directory, développez Site, Default-First-Site-Name et Servers.

    La console Active Directory Sites and Services affiche un nœud de serveurs étendu avec des paramètres NTDS.

  13. Dans la fenêtre des paramètres NTDS, cliquez avec le bouton droit sur le serveur et sélectionnez Répliquer maintenant.

    Menu contextuel avec l'option Replicate Now surlignée pour une connexion dans les paramètres NTDS.

  14. Répétez les étapes 13 à 14 pour vos autres serveurs.