5.3. 관리형 서비스 계정의 암호 업데이트

MSA(Managed Service Accounts)에는 AD(Active Directory)에서 자동으로 유지 관리하는 복잡한 암호가 있습니다. 기본적으로 SSSD(System Services Security Daemon)는 Kerberos 키 탭에서 30일이 지난 경우 MSA 암호를 자동으로 업데이트하여 AD의 암호로 최신 상태로 유지합니다. 다음 절차에서는 MSA의 암호를 수동으로 업데이트하는 방법을 설명합니다.

사전 요구 사항

  • 이전에 production.example.com AD 도메인에 호스트에 대한 MSA를 생성했습니다.
  • (선택 사항) klist 진단 유틸리티를 포함하는 KnativeServing 5- octets 패키지가 설치되어 있습니다.

절차

  1. (선택 사항) Kerberos keytab에 있는 MSA의 현재 키 버전 번호(KVNO)를 표시합니다. 현재 KVNO는 2입니다. 

    [root@client ~]# klist -k /etc/krb5.keytab.production.example.com
Keytab name: FILE:/etc/krb5.keytab.production.example.com
KVNO Principal
---- ------------------------------------------------------------
   2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)

  2. production.example.com AD 도메인에서 MSA의 암호를 업데이트합니다. 

    [root@client ~]# adcli update --domain=production.example.com --host-keytab=/etc/krb5.keytab.production.example.com --computer-password-lifetime=0

검증 단계

  • Kerberos 키탭에 KVNO가 증가했는지 확인합니다. 

    [root@client ~]# klist -k /etc/krb5.keytab.production.example.com
Keytab name: FILE:/etc/krb5.keytab.production.example.com
KVNO Principal
---- ------------------------------------------------------------
   3 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   3 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)