Megosztás a következőn keresztül:

ktpass

Konfigurálja a gazdagép vagy szolgáltatás egyszerű kiszolgálónevét az Active Directory Domain Servicesben (AD DS), és létrehoz egy .keytab fájlt, amely tartalmazza a szolgáltatás megosztott titkos kulcsát. A .keytab fájl a Massachusetts Institute of Technology (MIT) Kerberos hitelesítési protokolljának implementálásán alapul. A ktpass parancssori eszköz lehetővé teszi, hogy a Kerberos-hitelesítést támogató nem Windows-szolgáltatások használják a Kerberos Key Distribution Center (KDC) szolgáltatás által biztosított együttműködési funkciókat.

Szinopszis

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Paraméterek

Paraméter Leírás
/out <filename> Megadja a létrehozandó Kerberos 5.keytab-fájl nevét. Megjegyzés: Ez az a .keytab fájl, amelyet olyan számítógépre továbbít, amely nem a Windows operációs rendszert futtatja, majd cserélje le vagy egyesítse a meglévő .keytab fájlt, /Etc/Krb5.keytab.
/princ <principalname> Megadja az egyszerű nevet az űrlapgazda/computer.contoso.com@CONTOSO.COM. Figyelmeztetés: Ez a paraméter megkülönbözteti a kis- és nagybetűk megkülönböztetésével.
/mapuser <useraccount> Leképezi a Kerberos-tag nevét, amelyet a princ paraméter határoz meg a megadott tartományi fiókhoz.
/mapop {add|set} A leképezési attribútum beállításának módját adja meg.
  • hozzáadása – A megadott helyi felhasználónév értékét adja hozzá. Ez az alapértelmezett érték.
  • beállítása – A megadott helyi felhasználónév csak adattitkosítási standard (DES)-titkosítás értékét állítja be.
{-|+}desonly A csak DES-titkosítás alapértelmezés szerint be van állítva.
  • + Csak DES-titkosításhoz állít be fiókot.
  • - Csak DES-titkosításhoz tartozó fiókokra vonatkozó kiadási korlátozások. Fontos: Windows alapértelmezés szerint nem támogatja a DES-t.
/in <filename> Megadja azt a .keytab fájlt, amelyet nem Windows operációs rendszert futtató gazdaszámítógépről szeretne olvasni.
/pass {password|*|{-|+}rndpass} Megadja a princ paraméter által megadott egyszerű felhasználónév jelszavát. Jelszó kérése * használatával.
/minpass A véletlenszerű jelszó minimális hosszát 15 karakterre állítja.
/maxpass A véletlenszerű jelszó maximális hosszát 256 karakterre állítja.
/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Megadja a keytab-fájlban létrehozott kulcsokat:
  • DES-CBC-CRC – Kompatibilitásra szolgál.
  • DES-CBC-MD5 – Jobban megfelel az MIT implementációjának, és kompatibilitásra szolgál.
  • RC4-HMAC-NT – 128 bites titkosítást alkalmaz.
  • AES256-SHA1 – AES256-CTS-HMAC-SHA1-96 titkosítást alkalmaz.
  • AES128-SHA1 – AES128-CTS-HMAC-SHA1-96 titkosítást alkalmaz.
  • Minden – azt állítja, hogy az összes támogatott titkosítási típus használható.

Megjegyzés: Mivel az alapértelmezett beállítások a régebbi MIT-verziókon alapulnak, mindig a /crypto paramétert kell használnia.
/itercount Megadja az AES-titkosításhoz használt iterációk számát. Az alapértelmezett érték figyelmen kívül hagyja itercount nem AES-titkosítás esetén, és 4096-ra állítja az AES-titkosítást.
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} Megadja az egyszerű típust.
  • KRB5_NT_PRINCIPAL – Az általános egyszerű típus (ajánlott).
  • KRB5_NT_SRV_INST – A felhasználói szolgáltatás példánya
  • KRB5_NT_SRV_HST – A gazdaszolgáltatás példánya
/kvno <keyversionnum> Megadja a kulcs verziószámát. Az alapértelmezett érték 1.
/answer {-|+} A háttér válaszmódjának beállítása:
  • - Válaszok új jelszó kérése automatikusan NEM.
  • + Válaszok automatikusan új jelszó kérése IGEN.
/cél Beállítja a használni kívánt tartományvezérlőt. Az alapértelmezett érték a tartományvezérlő észlelése az egyszerű név alapján. Ha a tartományvezérlő neve nem oldható fel, egy párbeszédpanel egy érvényes tartományvezérlőt fog kérni.
/rawsalt kényszeríti a ktpasst a rawsalt algoritmus használatára a kulcs létrehozásakor. Ez a paraméter nem kötelező.
{-|+}dumpsalt A paraméter kimenete a kulcs létrehozásához használt MIT só algoritmust jeleníti meg.
{-|+}setupn Beállítja a egyszerű felhasználónevet (UPN) a szolgáltatásnév (SPN) mellett. Az alapértelmezett beállítás mindkét beállítás a .keytab fájlban.
{-|+}setpass <password> Megadja a felhasználó jelszavát, amikor megadja. Az rndpass használata esetén a rendszer véletlenszerű jelszót hoz létre.
/? Megjeleníti a parancs súgóját.

Megjegyzések

  • A Windows operációs rendszert nem futtató rendszereken futó szolgáltatások az AD DS szolgáltatáspéldány-fiókjaival konfigurálhatók. Így bármely Kerberos-ügyfél hitelesítést végezhet olyan szolgáltatásokon, amelyek nem Windows operációs rendszert futtatnak Windows KDC-k használatával.

  • A /princ paramétert a ktpass nem értékeli ki, és a megadott módon használja. Nem ellenőrzi, hogy a paraméter megfelel-e a userPrincipalName attribútum értékének a Keytab-fájl létrehozásakor. A Keytab-fájlt használó kis- és nagybetűket megkülönböztető Kerberos-disztribúciók problémákat okozhatnak, ha nincs pontos esetegyezés, és akár az előzetes hitelesítés során is meghiúsulhatnak. A megfelelő userPrincipalName attribútumérték ellenőrzése és lekérése LDifDE-exportálási fájlból. Például:

    ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname

Példák

Ha kerberos .keytab fájlt szeretne létrehozni egy olyan gazdagéphez, amely nem windowsos operációs rendszert futtat, le kell képeznie az egyszerű fiókot a fiókhoz, és be kell állítania a gazdagép egyszerű jelszavát.

  1. Az Active Directory Felhasználó és számítógépek beépülő modullal hozzon létre felhasználói fiókot egy olyan szolgáltatáshoz, amely nem Windows operációs rendszert futtat. Hozzon létre például egy fiókot User1néven.

  2. A ktpass paranccsal állítsa be a felhasználói fiók identitásleképezését a következő beírással:

    ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set

    Megjegyzés

    Nem képezhet le több szolgáltatáspéldányt ugyanarra a felhasználói fiókra.

  3. Egyesítse a .keytab fájlt a /Etc/Krb5.keytab fájllal egy olyan gazdagépen, amely nem windowsos operációs rendszert futtat.