Агент для сброса паролей пользователей на виртуальных машинах Windows Server
Для сброса паролей пользователей на виртуальных машинах Windows Server Yandex Cloud предоставляет специальную программу — агент, работающий как служба Windows Server. Агент генерирует для пользователя ВМ новый пароль и безопасно передает его пользователю Yandex Cloud, запросившему сброс (подробную схему работы агента см. ниже).
Агент для сброса паролей и программа для обновления агента входят в состав стандартных образов Windows Server. Если вы пользуетесь собственным образом, для сброса паролей установите агент и программу для его обновления по инструкции.
Примечание
Сейчас сбросить пароль средствами Yandex Cloud на виртуальной машине Linux невозможно.
Для сброса паролей с помощью агента требуются:
-
Сервисная роль
compute.admin
, примитивная рольeditor
или любая роль, наследующая все разрешения одной из этих двух ролей. Подробнее о ролях см. в разделе Управление доступом в Compute Cloud. -
Запущенная ВМ (в статусе
RUNNING
).
Логи работы агента, в том числе ежеминутные сообщения о его состоянии, доступны на последовательном порте 4 (COM4).
Как агент сбрасывает пароль
Когда пользователь Yandex Cloud запрашивает сброс пароля:
-
На стороне пользователя (в браузере, если сброс запрошен в консоли управления, или в PowerShell) по алгоритму RSA
создается пара из открытого и закрытого ключей шифрования. Запрос с открытым ключом и именем пользователя ВМ, для которого нужно сбросить пароль, отправляется агенту через HTTPS-соединение. -
Агент на ВМ:
- получает и верифицирует запрос от клиента;
- генерирует новый пароль;
- если пользователя ВМ с указанным именем не существует, создает нового с правами администратора;
- назначает пользователю ВМ сгенерированный пароль;
- шифрует пароль открытым ключом, полученным в запросе;
- отправляет пароль пользователю Yandex Cloud через HTTPS-соединение.
-
На стороне пользователя полученный пароль расшифровывается закрытым ключом и отображается в консоли управления или в PowerShell.