Reimposta la password dell'account krbtgt

Proteggi la tua directory Simple AD

Questa sezione descrive le considerazioni per proteggere l'ambiente Simple AD.

Argomenti

Come reimpostare la password di un account Simple AD krbtgt

Come reimpostare la password di un account Simple AD krbtgt

L'account krbtgt svolge un ruolo importante negli scambi di biglietti Kerberos. Per ulteriori informazioni, consulta la documentazione di Samba. Si consiglia di cambiare questa password regolarmente ogni 90 giorni.

È possibile reimpostare la password dell'account krbtgt da una delle seguenti istanze unite di Simple AD:

Amazon EC2 Windows
Amazon EC2 Linux

Nota

AWS Simple AD è alimentato da Samba-AD. Samba-AD non memorizza l'hash N-1 per l'account krbtgt. Pertanto, quando la password dell'account krbtgt viene reimpostata, al client Kerberos verrà richiesto di negoziare un nuovo Ticket Granting Ticket () durante la successiva richiesta di Service Ticket (ST). TGT Per ridurre al minimo le potenziali interruzioni del servizio, è necessario pianificare la reimpostazione della password dell'account krbtgt al di fuori dell'orario lavorativo. Questo approccio mitiga gli impatti sulle operazioni in corso e garantisce una continuità dell'autenticazione senza intoppi.

Le seguenti procedure mostrano come reimpostare la password dell'account krbtgt da un'istanza EC2 Windows o da un'istanza Linux.

Prerequisiti

Prima di iniziare questa procedura, completa quanto segue:
- Il dominio ha aggiunto un'EC2istanza alla directory Simple AD.
  - Per ulteriori informazioni su come aggiungere un'EC2Windowsistanza a un Simple AD, vedereUnisci senza problemi un'istanza Amazon EC2 Windows al tuo Simple AD Active Directory.
  - Per ulteriori informazioni su come aggiungere un'istanza EC2 Linux a un Simple AD, vedereUnisci senza problemi un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory.
- Disponi delle credenziali di amministratore della directory Simple AD. Effettuerai l'accesso come amministratore della directory Simple AD per questa procedura.

Amazon EC2 Windows Instance

Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.
Nella EC2 console Amazon, scegli Istanze e seleziona l'istanza Windows Server. Quindi scegliere Connetti.
Nella pagina Connect to instance, scegli RDPclient.
Nella finestra di dialogo Sicurezza di Windows, copia le credenziali di amministratore locale per il computer Windows Server a cui accedere. Il nome utente può avere i seguenti formati: NetBIOS-Name\administrator oDNS-Name\administrator. Ad esempio, corp\administrator sarebbe il nome utente se hai seguito la procedura inCrea il tuo Simple AD Active Directory.
Una volta effettuato l'accesso al computer Windows Server, apri Strumenti di Windows amministrazione dal menu Start scegliendo la cartella Strumenti di Windows amministrazione.
Nella dashboard Strumenti di Windows amministrazione, apri Active DirectoryUtenti e computer selezionando Active DirectoryUtente e computer.
Nella finestra Active DirectoryUtenti e computer, seleziona Visualizza, quindi scegli Abilita funzionalità avanzate.
Nella finestra Active DirectoryUtenti e computer, seleziona Utenti dal pannello di sinistra.
Trova l'utente denominato krbtgt, fai clic con il pulsante destro del mouse su di esso e seleziona Reimposta password.
Nella nuova finestra, inserisci la nuova password, inseriscila di nuovo, quindi scegli OK per reimpostare la password dell'account krbtgt.

Amazon EC2 Linux Instance

Connettiti all'istanza Amazon EC2 Linux aggiunta al dominio utilizzando un SSH client con credenziali di amministratore.
Crea un file ldif denominato change_krbtgt_password.ldif sull'istanza con il seguente contenuto:
```
dn: CN=krbtgt,CN=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: BASE64_ENCODED_NEW_PASSWORD
```
Nota
Assicurati di apportare le seguenti modifiche al file ldif in modo che corrisponda al tuo ambiente: Active Directory
- Replace (Sostituisci) example e com per DC con le informazioni sul tuo dominio.
- Replace (Sostituisci) BASE64_ENCODED_NEW_PASSWORD con una password codificata in formato UTF -16 e quindi in formato base64. Ciò è necessario per soddisfare i requisiti per l'Active Directoryaggiornamento delle password.
Di seguito è riportato un esempio di come è possibile codificare la password in UTF -16 e base64 utilizzando gli strumenti command-li di Linux:
```
echo -n '"new-desired-password"' | iconv -t utf16le | base64
white_check_markeyesraised_hands
```
Assicurati di sostituirla new-desired-password con la tua nuova password preferita, assicurandoti che rispetti i requisiti della politica in materia di password specificati da Simple AD.
Esegui il ldapmodify comando seguente con il seguente file ldif per applicare la modifica della password. Ti verrà richiesto di inserire la password dell'utente amministratore durante l'esecuzione di questo comando.
```
ldapmodify -H ldap://your_ldap_server -D "CN=Administrator,CN=Users,DC=example,DC=com" -W -f change_krbtgt_password.ldif
```
Assicurati di sostituirla ldap://your_ldap_server con il tuo LDAP server URL e DC=example,DC=com con le informazioni sul tuo dominio.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Procedura

Gestione di utenti e gruppi