Delen via

ktpass

Hiermee configureert u de server-principalnaam voor de host of service in Active Directory Domain Services (AD DS) en genereert u een .keytab-bestand dat de gedeelde geheime sleutel van de service bevat. Het .keytab-bestand is gebaseerd op de MIT-implementatie (Massachusetts Institute of Technology) van het Kerberos-verificatieprotocol. Met het opdrachtregelprogramma ktpass kunnen niet-Windows-services die Kerberos-verificatie ondersteunen, gebruikmaken van de interoperabiliteitsfuncties van de KDC-service (Kerberos Key Distribution Center).

Syntaxis

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Parameterwaarden

Maatstaf Beschrijving
/out <filename> Hiermee geeft u de naam van het Kerberos versie 5 .keytab-bestand te genereren. Opmerking: Dit is het .keytab-bestand dat u overbrengt naar een computer waarop het Windows-besturingssysteem niet wordt uitgevoerd en vervang of voeg deze vervolgens samen met het bestaande .keytab-bestand /Etc/Krb5.keytab.
/princ <principalname> Hiermee geeft u de principal-naam in de formulierhost/computer.contoso.com@CONTOSO.COM. Waarschuwing: Deze parameter is hoofdlettergevoelig.
/mapuser <useraccount> Wijst de naam van de Kerberos-principal, die is opgegeven door de princ parameter, toe aan het opgegeven domeinaccount.
/mapop {add|set} Hiermee geeft u op hoe het toewijzingskenmerk is ingesteld.
  • Toevoegen : voegt de waarde van de opgegeven lokale gebruikersnaam toe. Dit is de standaardwaarde.
  • Set - Hiermee stelt u de waarde in voor DeS-versleuteling (Data Encryption Standard) voor de opgegeven lokale gebruikersnaam.
{-|+}desonly DES-only-versleuteling is standaard ingesteld.
  • + Hiermee stelt u een account in voor alleen-DES-versleuteling.
  • - beperking releases voor een account voor DES-only-versleuteling. Belangrijk: Windows biedt geen standaard ondersteuning voor DES.
/in <filename> Hiermee geeft u het .keytab-bestand te lezen van een hostcomputer waarop het Windows-besturingssysteem niet wordt uitgevoerd.
/pass {password|*|{-|+}rndpass} Hiermee geeft u een wachtwoord op voor de principal-gebruikersnaam die is opgegeven door de princ parameter. Gebruik * om een wachtwoord te vragen.
/minpass Hiermee stelt u de minimale lengte van het willekeurige wachtwoord in op 15 tekens.
/maxpass Hiermee stelt u de maximale lengte van het willekeurige wachtwoord in op 256 tekens.
/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Hiermee geeft u de sleutels op die worden gegenereerd in het keytab-bestand:
  • DES-CBC-CRC- : wordt gebruikt voor compatibiliteit.
  • DES-CBC-MD5- : houdt zich nauwer aan de MIT-implementatie en wordt gebruikt voor compatibiliteit.
  • RC4-HMAC-NT- : maakt gebruik van 128-bits versleuteling.
  • AES256-SHA1- : maakt gebruik van AES256-CTS-HMAC-SHA1-96-versleuteling.
  • AES128-SHA1 - Maakt gebruik van AES128-CTS-HMAC-SHA1-96-versleuteling.
  • Alle : geeft aan dat alle ondersteunde cryptografische typen kunnen worden gebruikt.

Opmerking: Omdat de standaardinstellingen zijn gebaseerd op oudere MIT-versies, moet u altijd de parameter /crypto gebruiken.
/itercount Hiermee geeft u het aantal iteraties op dat wordt gebruikt voor AES-versleuteling. De standaardinstelling negeert itercount voor niet-AES-versleuteling en stelt AES-versleuteling in op 4096.
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} Hiermee geeft u het principal-type.
  • KRB5_NT_PRINCIPAL : het algemene principal-type (aanbevolen).
  • KRB5_NT_SRV_INST - Het exemplaar van de gebruikersservice
  • KRB5_NT_SRV_HST - Het hostservice-exemplaar
/kvno <keyversionnum> Hiermee geeft u het versienummer van de sleutel. De standaardwaarde is 1.
/answer {-|+} Hiermee stelt u de achtergrondantwoordmodus in:
  • - antwoorden stellen wachtwoordprompts automatisch opnieuw in met GEEN.
  • + antwoorden stellen wachtwoordprompts automatisch opnieuw in met JA-.
/doel Hiermee stelt u in welke domeincontroller moet worden gebruikt. De standaardwaarde is dat de domeincontroller wordt gedetecteerd op basis van de principal-naam. Als de naam van de domeincontroller niet wordt omgezet, wordt in een dialoogvenster om een geldige domeincontroller gevraagd.
/rawsalt dwingt ktpass om het rawsalt-algoritme te gebruiken bij het genereren van de sleutel. Deze parameter is optioneel.
{-|+}dumpsalt De uitvoer van deze parameter toont het MIT-zout-algoritme dat wordt gebruikt om de sleutel te genereren.
{-|+}setupn Hiermee stelt u de UPN (User Principal Name) in naast de SPN (Service Principal Name). De standaardwaarde is om beide in het .keytab-bestand in te stellen.
{-|+}setpass <password> Hiermee stelt u het wachtwoord van de gebruiker in wanneer deze is opgegeven. Als rndpass wordt gebruikt, wordt in plaats daarvan een willekeurig wachtwoord gegenereerd.
/? Geeft Help weer voor deze opdracht.

Opmerkingen

  • Services die worden uitgevoerd op systemen waarop het Windows-besturingssysteem niet wordt uitgevoerd, kunnen worden geconfigureerd met service-exemplaaraccounts in AD DS. Hierdoor kan elke Kerberos-client worden geverifieerd bij services waarop het Windows-besturingssysteem niet wordt uitgevoerd met behulp van Windows KDCs.

  • De parameter /princ wordt niet geëvalueerd door ktpass en wordt gebruikt zoals opgegeven. Er is geen controle om te zien of de parameter overeenkomt met het exacte geval van de userPrincipalName kenmerkwaarde bij het genereren van het Keytab-bestand. Hoofdlettergevoelige Kerberos-distributies die dit Keytab-bestand gebruiken, kunnen problemen hebben als er geen exacte overeenkomst is en zelfs kan mislukken tijdens pre-verificatie. Als u de juiste userPrincipalName kenmerkwaarde wilt controleren en ophalen uit een LDifDE-exportbestand. Voorbeeld:

    ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname

Voorbeelden

Als u een Kerberos.keytab-bestand wilt maken voor een hostcomputer waarop het Windows-besturingssysteem niet wordt uitgevoerd, moet u de principal toewijzen aan het account en het wachtwoord voor de host-principal instellen.

  1. Gebruik de Active Directory Gebruikers- en computers module om een gebruikersaccount te maken voor een service op een computer waarop het Windows-besturingssysteem niet wordt uitgevoerd. Maak bijvoorbeeld een account met de naam User1.

  2. Gebruik de opdracht ktpass om een identiteitstoewijzing voor het gebruikersaccount in te stellen door het volgende te typen:

    ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set

    Notitie

    U kunt niet meerdere service-exemplaren toewijzen aan hetzelfde gebruikersaccount.

  3. Voeg het .keytab-bestand samen met het bestand /Etc/Krb5.keytab op een hostcomputer waarop het Windows-besturingssysteem niet wordt uitgevoerd.