5.3. 관리형 서비스 계정의 암호 업데이트
MSA(Managed Service Accounts)에는 AD(Active Directory)에서 자동으로 유지 관리하는 복잡한 암호가 있습니다. 기본적으로 SSSD(System Services Security Daemon)는 Kerberos 키 탭에서 30일이 지난 경우 MSA 암호를 자동으로 업데이트하여 AD의 암호로 최신 상태로 유지합니다. 다음 절차에서는 MSA의 암호를 수동으로 업데이트하는 방법을 설명합니다.
사전 요구 사항
- 이전에 production.example.com AD 도메인에 호스트에 대한 MSA를 생성했습니다.
-
(선택 사항)
klist
진단 유틸리티를 포함하는 KnativeServing5-
octets 패키지가 설치되어 있습니다.
절차
(선택 사항) Kerberos keytab에 있는 MSA의 현재 키 버전 번호(KVNO)를 표시합니다. 현재 KVNO는 2입니다.
[root@client ~]# klist -k /etc/krb5.keytab.production.example.com Keytab name: FILE:/etc/krb5.keytab.production.example.com KVNO Principal ---- ------------------------------------------------------------ 2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
production.example.com
AD 도메인에서 MSA의 암호를 업데이트합니다.[root@client ~]# adcli update --domain=production.example.com --host-keytab=/etc/krb5.keytab.production.example.com --computer-password-lifetime=0
검증 단계
Kerberos 키탭에 KVNO가 증가했는지 확인합니다.
[root@client ~]# klist -k /etc/krb5.keytab.production.example.com Keytab name: FILE:/etc/krb5.keytab.production.example.com KVNO Principal ---- ------------------------------------------------------------ 3 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96) 3 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)