保护你的 Simple AD 目录 - Amazon Directory Service
重置 krbtgt 账户密码
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护你的 Simple AD 目录

本节介绍保护 Simple AD 环境的注意事项。

如何重置 Simple AD krbtgt 账户密码

krbtgt 账户在 Kerberos 门票交易所中起着重要作用。有关更多信息,请参阅 Samba 文档。建议每 90 天定期更改一次此密码。

你可以从以下 Simple AD 加入的实例之一重置 krbtgt 账户密码:

  • Amazon EC2 Windows

  • 亚马逊 EC2 Linux

注意

Amazon Simple AD 由 Samba-ad 提供支持。Samba-ad 不存储 krbtgt 账户的 N-1 哈希值。因此,重置 krbtgt 账户密码后,Kerberos 客户端需要在下一次服务票证 (STTGT) 请求期间协商新的票证授予票证 ()。为了最大限度地减少可能的服务中断,您应该安排在工作时间以外重置 krbtgt 账户密码。这种方法可以减轻对持续运营的影响,并确保身份验证的顺畅连续性。

以下过程说明如何从EC2Windows或 Linux 实例重置 krbtgt 账户密码。

先决条件
Amazon EC2 Windows Instance

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在 Amazon EC2 控制台中,选择实例并选择Windows服务器实例。然后选择连接

  3. Connect to 实例页面中,选择RDP客户端

  4. Windows 安全对话框中,复制Windows服务器计算机的本地管理员凭据进行登录。用户名可以采用以下格式:NetBIOS-Name\administratorDNS-Name\administrator。例如,如果您按照中的步骤进行操作,则corp\administrator将是用户名制作你的 Simple AD Active Directory

  5. 登录Windows服务器计算机后,从 “开始” 菜单中选择 “Windows管理工具” 文件夹,打开 “Windows管理工具”。

  6. 在 “Windows管理工具” 仪表板中,选择 “Active Directory用户和计算机”,打开 “Active Directory用户和计算机”。

  7. 在 “Active Directory用户和计算机” 窗口中,选择 “查看”,然后选择 “启用高级功能”。

  8. 在 “Active Directory用户和计算机” 窗口中,从左侧面板中选择 “用户”。

  9. 找到名为 krbtgt 的用户,右键单击它并选择 “重置密码”。

  10. 在新窗口中,输入新密码,再次输入,然后选择确定重置 krbtgt 账户密码。

Amazon EC2 Linux Instance

  1. 使用具有管理员凭证的SSH客户端连接到已加入 Amazon EC2 Linux 实例的域。

  2. 在实例change_krbtgt_password.ldif上创建一个名为 ldif 文件,内容如下:

    dn: CN=krbtgt,CN=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: BASE64_ENCODED_NEW_PASSWORD
    注意

    确保对 ldif 文件进行以下更改以匹配您的Active Directory环境:

    • Replace(替换) example 以及 com 用您的域名信息获得 DC。

    • Replace(替换) BASE64_ENCODED_NEW_PASSWORD 密码以 UTF -16 格式编码,然后以 base64 格式编码。这是遵守更新密码Active Directory的要求所必需的。

    以下是如何使用 Linux command-li 工具对 UTF -16 和 base64 中的密码进行编码的示例:

    echo -n '"new-desired-password"' | iconv -t utf16le | base64
white_check_markeyesraised_hands

    请务必更换 new-desired-password 使用您的首选新密码,确保其符合 Simple AD 指定的密码策略要求。

  3. 使用以下 ldif 文件运行以下ldapmodify命令以应用密码更改。此命令运行时,系统将提示您输入管理员用户密码。

    ldapmodify -H ldap://your_ldap_server -D "CN=Administrator,CN=Users,DC=example,DC=com" -W -f change_krbtgt_password.ldif

    请务必更换 ldap://your_ldap_server 使用您的LDAP服务器URL和 DC=example,DC=com 用你的域名信息。