Amankan direktori Simple AD Anda

Bagian ini menjelaskan pertimbangan untuk mengamankan lingkungan Simple AD Anda.

Topik

Cara mengatur ulang kata sandi akun krbtgt AD Sederhana

Cara mengatur ulang kata sandi akun krbtgt AD Sederhana

Akun krbtgt memainkan peran penting dalam pertukaran tiket Kerberos. Untuk informasi selengkapnya, lihat dokumentasi Samba. Disarankan untuk mengubah kata sandi ini secara teratur setiap 90 hari.

Anda dapat mengatur ulang kata sandi akun krbtgt dari salah satu instance gabungan Simple AD berikut:

Amazon EC2 Windows
Amazon EC2 Linux

catatan

AWS Simple AD didukung oleh Samba-ad. Samba-ad tidak menyimpan hash N-1 untuk akun krbtgt. Oleh karena itu, ketika kata sandi akun krbtgt diatur ulang, klien Kerberos akan diminta untuk menegosiasikan Tiket Pemberian Tiket () baru selama permintaan Tiket Layanan (STTGT) berikutnya. Untuk meminimalkan potensi gangguan layanan, Anda harus menjadwalkan pengaturan ulang kata sandi akun krbtgt di luar jam kerja. Pendekatan ini mengurangi dampak pada operasi yang sedang berlangsung dan memastikan kelancaran kesinambungan otentikasi.

Prosedur berikut menunjukkan bagaimana Anda dapat mengatur ulang kata sandi akun krbtgt dari instance EC2 Windows atau Linux.

Prasyarat

Sebelum Anda dapat memulai prosedur ini, selesaikan yang berikut ini:
- Anda memiliki domain yang bergabung dengan EC2 instance ke direktori Simple AD Anda.
  - Untuk informasi selengkapnya tentang cara menggabungkan EC2 Windows instans ke Simple AD, lihatBergabunglah dengan instans Amazon EC2 Windows dengan mulus ke Simple AD Active Directory Anda.
  - Untuk informasi selengkapnya tentang cara menggabungkan instance EC2 Linux ke Simple AD, lihatBergabunglah dengan instans Amazon EC2 Linux dengan mulus ke Simple AD Active Directory.
- Anda memiliki kredensyal administrator direktori Simple AD. Anda akan masuk sebagai administrator direktori Simple AD untuk prosedur ini.

Amazon EC2 Windows Instance

Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
Di EC2 konsol Amazon, pilih Instans dan pilih instance Windows Server. Kemudian pilih Connect.
Di halaman Connect to instance, pilih RDPklien.
Di kotak dialog Keamanan Windows, salin kredensyal administrator lokal Anda untuk komputer Windows Server untuk masuk. Nama pengguna dapat dalam format berikut: NetBIOS-Name\administrator atauDNS-Name\administrator. Misalnya, corp\administrator akan menjadi nama pengguna jika Anda mengikuti prosedur diBuat Simple AD Anda Active Directory.
Setelah masuk ke komputer Windows Server, buka WindowsAdministrative Tools dari menu Start dengan memilih folder WindowsAdministrative Tools.
Di dasbor Alat Windows Administratif, buka Active DirectoryPengguna dan Komputer dengan memilih Active DirectoryPengguna dan Komputer.
Di jendela Active DirectoryPengguna dan Komputer, pilih Lihat dan kemudian pilih Aktifkan Fitur Lanjutan.
Di jendela Active DirectoryPengguna dan Komputer, pilih Pengguna dari panel kiri.
Temukan pengguna bernama krbtgt, klik kanan padanya dan pilih Reset Password.
Di jendela baru, masukkan kata sandi baru, masukkan lagi, lalu pilih OK untuk mengatur ulang kata sandi akun krbtgt.

Amazon EC2 Linux Instance

Connect ke domain yang bergabung dengan instans Amazon EC2 Linux menggunakan SSH klien dengan kredensyal Administrator.
Buat file ldif bernama change_krbtgt_password.ldif pada instance dengan konten berikut:
```
dn: CN=krbtgt,CN=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: BASE64_ENCODED_NEW_PASSWORD
```
catatan
Pastikan Anda membuat perubahan berikut pada file ldif agar sesuai dengan lingkungan AndaActive Directory:
- Ganti example and com untuk DC dengan informasi domain Anda.
- Ganti BASE64_ENCODED_NEW_PASSWORD dengan kata sandi yang dikodekan dalam format UTF -16 dan kemudian format base64. Ini diperlukan untuk mematuhi Active Directory persyaratan untuk memperbarui kata sandi.
Berikut ini adalah contoh bagaimana Anda dapat menyandikan kata sandi di UTF -16 dan base64 menggunakan alat perintah-li Linux:
```
echo -n '"new-desired-password"' | iconv -t utf16le | base64
white_check_markeyesraised_hands
```
Pastikan untuk mengganti new-desired-password dengan kata sandi baru pilihan Anda, memastikannya mematuhi persyaratan kebijakan kata sandi yang ditentukan oleh Simple AD.
Jalankan ldapmodify perintah berikut dengan file ldif berikut untuk menerapkan perubahan kata sandi. Anda akan diminta untuk memasukkan kata sandi pengguna Administrator saat perintah ini berjalan.
```
ldapmodify -H ldap://your_ldap_server -D "CN=Administrator,CN=Users,DC=example,DC=com" -W -f change_krbtgt_password.ldif
```
Pastikan Anda mengganti ldap://your_ldap_server Dengan LDAP server Anda URL dan DC=example,DC=com dengan informasi domain Anda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Cara...

Mengelola pengguna dan grup