Proteja seu diretório Simple AD - AWS Directory Service
Redefinir a senha da conta krbtgt

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteja seu diretório Simple AD

Esta seção descreve as considerações para proteger seu ambiente Simple AD.

Como redefinir a senha de uma conta krbtgt do Simple AD

A conta krbtgt desempenha um papel importante nas trocas de ingressos Kerberos. Para obter mais informações, consulte a documentação do Samba. É recomendável alterar essa senha regularmente a cada 90 dias.

Você pode redefinir a senha da conta krbtgt de uma das seguintes instâncias unidas do Simple AD:

  • Amazon EC2 Windows

  • Amazon EC2 Linux

nota

AWS O Simple AD é desenvolvido com o Samba-AD. O Samba-ad não armazena o hash N-1 para a conta krbtgt. Portanto, quando a senha da conta krbtgt for redefinida, o cliente Kerberos deverá negociar um novo Tíquete de Concessão de Tíquete (TGT) durante sua próxima solicitação de Tíquete de Serviço (ST). Para minimizar possíveis interrupções no serviço, você deve agendar a redefinição da senha da conta krbtgt fora do horário comercial. Essa abordagem reduz os impactos nas operações contínuas e garante uma continuidade suave da autenticação.

Os procedimentos a seguir mostram como você pode redefinir a senha da conta krbtgt de uma instância EC2 Windows ou do Linux.

Pré-requisitos
Amazon EC2 Windows Instance

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No EC2 console da Amazon, escolha Instâncias e selecione a instância Windows do servidor. Depois, escolha Conectar.

  3. Na página Connect to instance, escolha RDPclient.

  4. Na caixa de diálogo Segurança do Windows, copie suas credenciais de administrador local para que o computador Windows do servidor entre. O nome de usuário pode estar nos seguintes formatos: NetBIOS-Name\administrator ouDNS-Name\administrator. Por exemplo, corp\administrator seria o nome de usuário se você seguisse o procedimento emCrie seu Simple AD Active Directory.

  5. Depois de fazer login no computador do Windows servidor, abra as Ferramentas Windows Administrativas no menu Iniciar, escolhendo a pasta Ferramentas Windows Administrativas.

  6. No painel de ferramentas Windows administrativas, abra Active DirectoryUsuários e computadores escolhendo Active DirectoryUsuário e computadores.

  7. Na janela Active DirectoryUsuários e computadores, selecione Exibir e, em seguida, escolha Ativar recursos avançados.

  8. Na janela Active DirectoryUsuários e computadores, selecione Usuários no painel esquerdo.

  9. Encontre o usuário chamado krbtgt, clique com o botão direito nele e selecione Redefinir senha.

  10. Na nova janela, digite a nova senha, insira-a novamente e escolha OK para redefinir a senha da conta krbtgt.

Amazon EC2 Linux Instance

  1. Conecte-se à instância Amazon EC2 Linux associada ao domínio usando o SSH cliente com credenciais de administrador.

  2. Crie um arquivo ldif chamado change_krbtgt_password.ldif na instância com o seguinte conteúdo:

    dn: CN=krbtgt,CN=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: BASE64_ENCODED_NEW_PASSWORD
    nota

    Certifique-se de fazer as seguintes alterações no arquivo ldif para corresponder ao seu Active Directory ambiente:

    • Substituir example e com para DC com as informações do seu domínio.

    • Substituir BASE64_ENCODED_NEW_PASSWORD com uma senha codificada no formato UTF -16 e depois no formato base64. Isso é necessário para cumprir os requisitos Active Directory de atualização de senhas.

    Veja a seguir um exemplo de como você pode codificar a senha em UTF -16 e base64 usando as ferramentas de comando li do Linux:

    echo -n '"new-desired-password"' | iconv -t utf16le | base64
white_check_markeyesraised_hands

    Certifique-se de substituir new-desired-password com sua nova senha preferida, garantindo que ela cumpra os requisitos de política de senha especificados pelo Simple AD.

  3. Execute o ldapmodify comando a seguir com o arquivo ldif a seguir para aplicar a alteração da senha. Você será solicitado a digitar a senha de usuário do administrador enquanto esse comando for executado.

    ldapmodify -H ldap://your_ldap_server -D "CN=Administrator,CN=Users,DC=example,DC=com" -W -f change_krbtgt_password.ldif

    Certifique-se de substituir ldap://your_ldap_server com seu LDAP servidor URL e DC=example,DC=com com as informações do seu domínio.