Смена пароля учетной записи krbtgt
В процессе эксплуатации службы каталогов по соображениям безопасности может возникать необходимость в смене пароля служебной учетной записи krbtgt.
Общие сведения
Учетная запись krbtgt добавляется автоматически в контейнер Users
при создании первого контроллера в домене.
Особенности учетной записи krbtgt:
-
всегда отключена (disabled);
-
состоит в группах
Domain Users
иDenied RODC Password Replication Group
; -
администраторы не могут включить данную учетную запись или изменить ее имя.
С помощью пароля учетной записи krbtgt служба распространения ключей Kerberos (KDC) создает секретный ключ для шифрования и расшифровки билетов TGT.
С целью снижения риска использования пароля учетной записи krbtgt злоумышленниками для атак на сетевую инфраструктуру рекомендуется менять его с определенной периодичностью.
Смена пароля
Для просмотра времени последней смены пароля учетной записи krbtgt используйте команду:
samba-tool user show krbtgt \ --attributes='pwdLastSet;format=GeneralizedTime'
Например:
/app/inno-samba/bin/samba-tool user show krbtgt \ --attributes='pwdLastSet;format=GeneralizedTime' \ --use-kerberos=required \ -Uadministrator \ -H ldap://dc01.samdom.example.com ... dn: CN=krbtgt,CN=Users,DC=samdom,DC=example,DC=com pwdLastSet;format=GeneralizedTime: 20240125121440.0Z
Чтобы сменить пароль, дважды запустите скрипт /app/inno-samba/bin/chgkrbtgtpass на контроллере домена Эллес с интервалом, превышающим максимальный период действия сервисных билетов и пользовательских билетов TGT Kerberos.
По умолчанию этот период равен 10 часам. Если в домене действует групповая политика безопасности, задающая иной период действия, или в конфигурационном файле smb.conf заданы параметры kdc:service ticket lifetime , kdc:user ticket lifetime и kdc:renewal lifetime , следует учитывать это при выборе интервала для повторного запуска скрипта.
|
Пример запуска скрипта:
sudo /app/inno-samba/bin/chgkrbtgtpass
В истории паролей для учетной записи krbtgt сохраняются текущее и предыдущее значения. Таким образом, двухкратный сброс пароля позволяет полностью очистить ее.