Dela via

Rotation av tjänstens huvudnamn i målklustret

  • Artikel

Det här dokumentet ger en översikt över processen för att utföra rotation av tjänstens huvudnamn i nexus-målklustret. I enlighet med bästa praxis för säkerhet bör säkerhetsobjektet roteras med jämna mellanrum. Närhelst integriteten för tjänstens huvudnamn misstänks eller är känd för att vara komprometterad, bör den roteras omedelbart.

Förutsättningar

  1. [Installera Azure CLI][installationsinstruktion] måste vara installerad.
  2. CLI-tillägget networkcloud krävs. networkcloud Om tillägget inte är installerat kan det installeras enligt stegen här.
  3. Åtkomst till Azure-portalen för målklustret.
  4. Du måste vara inloggad på samma prenumeration som målklustret via az login
  5. Målklustret måste vara i körningsläge och vara i felfritt tillstånd.
  6. Rotation av tjänstens huvudnamn ska utföras innan de konfigurerade autentiseringsuppgifterna upphör att gälla.
  7. Tjänstens huvudnamn ska ha ägarbehörighet för prenumerationen på målklustret.

Lägg till sekundära autentiseringsuppgifter till det befintliga tjänstens huvudnamn

Lista befintlig information om autentiseringsuppgifter för tjänstens huvudnamn

az ad app credential list --id "<SP Application (client) ID>"

Lägg till sekundära autentiseringsuppgifter i tjänstens huvudnamn. Kopiera det resulterande genererade lösenordet någonstans säkert, enligt bästa praxis.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Skapa ett nytt huvudnamn för tjänsten

Det nya tjänstens huvudnamn ska ha ägarbehörighetsomfång för målklusterprenumerationen.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Rotera tjänstens huvudnamn i målklustret

Tjänstens huvudnamn kan roteras på målklustret genom att ange den nya informationen, som antingen bara kan vara en sekundär uppdatering av autentiseringsuppgifter eller så kan det vara det nya tjänstens huvudnamn för målklustret.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Verifiera den nya uppdateringen av tjänstens huvudnamn i målklustret

Klustervisning visar nya ändringar av tjänstens huvudnamn om det roteras i målklustret.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

I utdata hittar du informationen under clusterServicePrincipal egenskapen .

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Kommentar

Kontrollera att du använder rätt ID för tjänstens huvudnamn (objekt-ID i Azure) när du uppdaterar det. Det finns två olika objekt-ID:er som kan hämtas från Azure för samma tjänsthuvudnamn. Följ dessa steg för att hitta rätt:

  1. Undvik att hämta objekt-ID:t från tjänstens huvudnamn av typen program som visas när du söker efter tjänstens huvudnamn i sökfältet i Azure-portalen.
  2. Sök i stället efter tjänstens huvudnamn under "Företagsprogram" i Azure Services för att hitta rätt objekt-ID och använda det som huvudnamns-ID.

Kontakta supporten om du fortfarande har frågor. Mer information om supportplaner finns i Azure-supportplaner.