5.3. Managed Service Account のパスワードの更新
Managed Service Accounts (MSA) には、Active Directory (AD) が自動的に管理する複雑なパスワードがあります。デフォルトでは、System Services Security Daemon (SSSD) は、MSA パスワードが 30 日を超えると Kerberos キータブでこれを自動的に更新します。これにより、AD ではパスワードを最新の状態に維持できます。この手順では、MSA のパスワードを手動で更新する方法を説明します。
前提条件
- production.example.com AD ドメインにホストの MSA を作成している。
-
(任意)
klist診断ユーティリティーを含むkrb5-workstationパッケージがインストールされている。
手順
(任意) Kerberos キータブで、MSA の現在の Key Version Number (KVNO) を表示します。現在の KVNO は 2 です。
[root@client ~]# klist -k /etc/krb5.keytab.production.example.com Keytab name: FILE:/etc/krb5.keytab.production.example.com KVNO Principal ---- ------------------------------------------------------------ 2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)production.example.comAD ドメイン内の MSA のパスワードを更新します。[root@client ~]# adcli update --domain=production.example.com --host-keytab=/etc/krb5.keytab.production.example.com --computer-password-lifetime=0
検証手順
Kerberos キータブで、KVNO が増加していることを確認します。
[root@client ~]# klist -k /etc/krb5.keytab.production.example.com Keytab name: FILE:/etc/krb5.keytab.production.example.com KVNO Principal ---- ------------------------------------------------------------ 3 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96) 3 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
