Смена пароля учетной записи krbtgt

В процессе эксплуатации службы каталогов по соображениям безопасности может возникать необходимость в смене пароля служебной учетной записи krbtgt.

Общие сведения

Учетная запись krbtgt добавляется автоматически в контейнер Users при создании первого контроллера в домене.

Особенности учетной записи krbtgt:

  • всегда отключена (disabled);

  • состоит в группах Domain Users и Denied RODC Password Replication Group;

  • администраторы не могут включить данную учетную запись или изменить ее имя.

С помощью пароля учетной записи krbtgt служба распространения ключей Kerberos (KDC) создает секретный ключ для шифрования и расшифровки билетов TGT.

С целью снижения риска использования пароля учетной записи krbtgt злоумышленниками для атак на сетевую инфраструктуру рекомендуется менять его с определенной периодичностью.

Смена пароля

Для просмотра времени последней смены пароля учетной записи krbtgt используйте команду:

samba-tool user show krbtgt \
   --attributes='pwdLastSet;format=GeneralizedTime'

Например:

/app/inno-samba/bin/samba-tool user show krbtgt \
   --attributes='pwdLastSet;format=GeneralizedTime' \
   --use-kerberos=required \
   -Uadministrator \
   -H ldap://dc01.samdom.example.com
...
dn: CN=krbtgt,CN=Users,DC=samdom,DC=example,DC=com
pwdLastSet;format=GeneralizedTime: 20240125121440.0Z

Чтобы сменить пароль, дважды запустите скрипт /app/inno-samba/bin/chgkrbtgtpass на контроллере домена Эллес с интервалом, превышающим максимальный период действия сервисных билетов и пользовательских билетов TGT Kerberos.

По умолчанию этот период равен 10 часам. Если в домене действует групповая политика безопасности, задающая иной период действия, или в конфигурационном файле smb.conf заданы параметры kdc:service ticket lifetime, kdc:user ticket lifetime и kdc:renewal lifetime, следует учитывать это при выборе интервала для повторного запуска скрипта.

Пример запуска скрипта:

sudo /app/inno-samba/bin/chgkrbtgtpass

В истории паролей для учетной записи krbtgt сохраняются текущее и предыдущее значения. Таким образом, двухкратный сброс пароля позволяет полностью очистить ее.