As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção do diretório Simple AD
Esta seção descreve considerações para proteger o ambiente do Simple AD.
Como redefinir a senha de uma conta krbtgt do Simple AD
A conta krbtgt desempenha um papel importante nas trocas de tíquetes do Kerberos. A conta do krbtgt é uma conta especial usada para criptografia de tíquetes de concessão de tíquetes (TGT) do Kerberos e desempenha um papel crucial na segurança do protocolo de autenticação Kerberos. No Samba AD, o krbtgt é representado como uma conta de usuário (desabilitada). A senha dessa conta é gerada aleatoriamente no momento em que o domínio é provisionado. O acesso a esse segredo pode resultar em comprometimento total indetectável do domínio, pois novos tíquetes do Kerberos podem ser impressos sem auditoria. Para obter mais informações, consulte a documentação do Samba
É recomendável alterar essa senha regularmente a cada 90 dias. Você pode redefinir a senha da conta krbtgt de uma EC2 Windows instância da Amazon associada ao seu Simple AD.
nota
AWS O Simple AD é desenvolvido com o Samba-AD. O Samba-AD não armazena o hash N-1 para a conta krbtgt. Portanto, quando a senha da conta krbtgt for redefinida, o cliente Kerberos deverá negociar um novo tíquete de concessão de tíquetes (TGT) durante a próxima solicitação de tíquete de serviço (ST). Para minimizar possíveis interrupções no serviço, você deve programar a redefinição de senha da conta krbtgt fora do horário comercial. Essa abordagem reduz os impactos nas operações contínuas e garante uma continuidade tranquila da autenticação.
Os procedimentos a seguir mostram como você pode redefinir a senha da conta krbtgt a partir de uma instância da Amazon EC2Windows.
Pré-requisitos
-
Antes de iniciar este procedimento, complete o seguinte:
-
Você associou um domínio a uma EC2 instância ao seu diretório Simple AD.
-
Para obter mais informações sobre como associar uma EC2 Windows instância a um Simple AD, consulteUnindo uma instância EC2 do Amazon Windows ao seu Simple AD Active Directory.
-
-
Você tem as credenciais de administrador do diretório Simple AD. Você entrará como administrador do diretório Simple AD para esse procedimento.
-
nota
Alguns, Serviços da AWS como Amazon WorkDocs e Amazon WorkSpaces, criarão um Simple AD em seu nome.
Redefinição de senha da conta krbtgt do Simple AD
Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/
. -
No EC2 console da Amazon, escolha Instâncias e selecione a instância Windows do servidor. Depois, escolha Conectar.
-
Na página Conectar a instância, escolha Cliente RDP.
-
Na caixa de diálogo Segurança do Windows, copie suas credenciais de administrador local no computador do Windows Server para fazer login. O nome de usuário pode estar nos seguintes formatos:
NetBIOS-Name\administrator
ouDNS-Name\administrator
. Por exemplo,corp\administrator
seria o nome de usuário se você seguisse o procedimento em Criação do Simple AD. -
Depois de fazer login no computador com Windows Server, abra as Ferramentas administrativas do Windows no menu Iniciar, escolhendo a pasta Ferramentas administrativas do Windows.
-
No painel Ferramentas Windows Administrativas, abra Usuários e Computadores do Active Directory escolhendo Usuários e Computadores do Active Directory.
-
Na janela Usuários e Computadores do Active Directory, selecione Exibir e escolha Habilitar recursos avançados.
-
Na janela Usuários e computadores do Active Directory, selecione Usuários no painel esquerdo.
-
Encontre o usuário chamado krbtgt, clique com o botão direito nele e selecione Redefinir senha.
-
Na janela que se abre, digite a nova senha, insira-a novamente e escolha OK para redefinir a senha da conta krbtgt.
-
No painel de ferramentas Windows administrativas, escolha Serviços e sites do Active Directory.
-
Na janela Sites e Serviços do Active Directory, expanda Site, Nome do Primeiro Site Padrão e Servidores.
-
Na janela Configurações de NTDS, clique com o botão direito do mouse no servidor e selecione Replicar agora.
-
Repita as etapas de 13 a 14 para os outros servidores.