Udostępnij za pośrednictwem

Rotacja sekretów w Azure Local

  • Artykuł

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób zmiany hasła skojarzonego z użytkownikiem wdrożenia na platformie Azure Local.

Zmienianie hasła użytkownika wdrożenia

Użyj polecenia cmdlet Set-AzureStackLCMUserPassword programu PowerShell, aby obrócićAzureStackLCMUserCredential wpisy tajne poświadczeń administratora domeny. To polecenie cmdlet zmienia hasło użytkownika, który nawiązuje połączenie z hostami serwera.

Uwaga

Po uruchomieniu polecenia Set-AzureStackLCMUserPasswordcmdlet polecenie cmdlet aktualizuje tylko to, co zostało wcześniej zmienione w usłudze Active Directory.

Polecenie cmdlet i właściwości programu PowerShell

Polecenie Set-AzureStackLCMUserPassword cmdlet przyjmuje następujące parametry:

Parametr Opis
Identity Nazwa użytkownika, którego hasło chcesz zmienić.
OldPassword Bieżące hasło użytkownika.
NewPassword Nowe hasło użytkownika.
UpdateAD Opcjonalny parametr używany do ustawiania nowego hasła w usłudze Active Directory.

Uruchamianie polecenia cmdlet Set-AzureStackLCMUserPassword

Ustaw parametry, a następnie uruchom polecenie cmdlet, Set-AzureStackLCMUserPassword aby zmienić hasło:

$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force

Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD

Po zmianie hasła sesja zakończy się. Następnie musisz zalogować się przy użyciu zaktualizowanego hasła.

Oto przykładowe dane wyjściowe w przypadku używania polecenia Set-AzureStackLCMUserPassword:

PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force 
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD 
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>

Zmiana jednostki usługi wdrażania

W tej sekcji opisano sposób zmiany jednostki usługi używanej do wdrożenia.

Uwaga

Ten scenariusz ma zastosowanie tylko w przypadku uaktualnienia lokalnego oprogramowania platformy Azure 2306 do usługi Azure Local w wersji 23H2.

Wykonaj następujące kroki, aby zmienić jednostkę usługi wdrażania:

  1. Zaloguj się do swojego identyfikatora Entra firmy Microsoft.

  2. Znajdź jednostkę usługi używaną podczas wdrażania wystąpienia lokalnego platformy Azure. Utwórz nowy klucz tajny klienta dla jednostki usługi.

  3. Zanotuj appID wartość dla istniejącej jednostki usługi i nowego <client secret>elementu .

  4. Zaloguj się do jednej z maszyn lokalnych platformy Azure przy użyciu poświadczeń użytkownika wdrożenia.

  5. Zaloguj się do Azure. Uruchom następujące polecenie programu PowerShell:

    Connect-AzAccount

  6. Ustaw kontekst subskrypcji. Uruchom następujące polecenie programu PowerShell:

    Set-AzContext -Subscription <Subscription ID>

  7. Zaktualizuj nazwę główną usługi. Uruchom następujące polecenia programu PowerShell:

    cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration"
Import-Module Microsoft.AS.ArcIntegration.psm1 -Force
$secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force
Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText

Zmienianie klucza tajnego jednostki usługi ARB

W tej sekcji opisano sposób zmiany jednostki usługi używanej dla mostka zasobów platformy Azure utworzonego podczas wdrażania.

Aby zmienić jednostkę usługi wdrażania, wykonaj następujące kroki:

  1. Zaloguj się do swojego identyfikatora Entra firmy Microsoft.

  2. Znajdź jednostkę usługi dla mostka zasobów platformy Azure. Nazwa jednostki usługi ma format Nazwa_klastraXX.arb.

  3. Utwórz nowy klucz tajny klienta dla jednostki usługi.

  4. Zanotuj appID wartość dla istniejącej jednostki usługi i nowego <client secret>elementu .

  5. Zaloguj się do jednej z maszyn lokalnych platformy Azure przy użyciu poświadczeń użytkownika wdrożenia.

  6. Uruchom następujące polecenie programu PowerShell:

    $SubscriptionId= "<Subscription ID>" 
$TenantId= "<Tenant ID>"
$AppId = "<Application ID>" 
$secretText= "<Client secret>" 
$NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force 
Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword

Następne kroki

Ukończ wymagania wstępne i listę kontrolną oraz zainstaluj Azure Local.