ktpass
Konfigurerar serverns huvudnamn för värden eller tjänsten i Active Directory Domain Services (AD DS) och genererar en .keytab-fil som innehåller tjänstens delade hemliga nyckel. .keytab-filen baseras på Massachusetts Institute of Technology-implementeringen (MIT) av Kerberos-autentiseringsprotokollet. Med kommandoradsverktyget ktpass kan icke-Windows-tjänster som stöder Kerberos-autentisering använda de samverkansfunktioner som tillhandahålls av Kerberos Key Distribution Center-tjänsten (KDC).
Syntax
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameterar
| Parameter | Beskrivning |
|---|---|
/out <filename> |
Anger namnet på kerberos-filen version 5 .keytab som ska genereras. Obs! Det här är .keytab-filen som du överför till en dator som inte kör Windows-operativsystemet och sedan ersätter eller sammanfogar med din befintliga .keytab-fil /Etc/Krb5.keytab. |
/princ <principalname> |
Anger huvudnamnet i formuläret värd/computer.contoso.com@CONTOSO.COM. Varning: Den här parametern är skiftlägeskänslig. |
/mapuser <useraccount> |
Mappar namnet på Kerberos-huvudnamnet, som anges av parametern princ, till det angivna domänkontot. |
/mapop {add|set} |
Anger hur mappningsattributet anges.
|
{-|+}desonly |
Endast DES-kryptering anges som standard.
|
/in <filename> |
Anger den .keytab-fil som ska läsas från en värddator som inte kör Windows-operativsystemet. |
/pass {password|*|{-|+}rndpass} |
Anger ett lösenord för det huvudanvändarnamn som anges av parametern princ. Använd * för att fråga efter ett lösenord. |
| /minpass | Anger den minsta längden på det slumpmässiga lösenordet till 15 tecken. |
| /maxpass | Anger den maximala längden på det slumpmässiga lösenordet till 256 tecken. |
/krypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Anger de nycklar som genereras i nyckelfliksfilen:
Obs! Eftersom standardinställningarna baseras på äldre MIT-versioner bör du alltid använda parametern |
| /itercount | Anger det iterationsantal som används för AES-kryptering. Standardvärdet ignorerar itercount- för icke-AES-kryptering och anger AES-kryptering till 4 096. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Anger huvudtypen.
|
/kvno <keyversionnum> |
Anger nyckelversionsnumret. Standardvärdet är 1. |
/answer {-|+} |
Anger svarsläget i bakgrunden:
|
| /mål | Anger vilken domänkontrollant som ska användas. Standardvärdet är att domänkontrollanten identifieras baserat på huvudnamnet. Om namnet på domänkontrollanten inte löser problemet uppmanas en dialogruta att ange en giltig domänkontrollant. |
| /rawsalt | tvingar ktpass att använda rawsalt-algoritmen när nyckeln genereras. Den här parametern är valfri. |
{-|+}dumpsalt |
Utdata från den här parametern visar MIT-saltalgoritmen som används för att generera nyckeln. |
{-|+}setupn |
Anger användarens huvudnamn (UPN) utöver tjänstens huvudnamn (SPN). Standardvärdet är att ange båda i .keytab-filen. |
{-|+}setpass <password> |
Anger användarens lösenord när det anges. Om rndpass används genereras ett slumpmässigt lösenord i stället. |
| /? | Visar Hjälp för det här kommandot. |
Anmärkningar
Tjänster som körs på system som inte kör Windows-operativsystemet kan konfigureras med tjänstinstanskonton i AD DS. Detta gör att alla Kerberos-klienter kan autentisera till tjänster som inte kör Windows-operativsystemet med hjälp av Windows KDCs.
Parametern /princ utvärderas inte av ktpass och används som tillhandahålls. Det finns ingen kontroll för att se om parametern matchar det exakta fallet för userPrincipalName attributvärde när du genererar Keytab-filen. Skiftlägeskänsliga Kerberos-distributioner med den här Keytab-filen kan ha problem om det inte finns någon exakt skiftlägesmatchning och till och med kan misslyckas under förautentiseringen. Kontrollera och hämta rätt userPrincipalName attributvärde från en LDifDE-exportfil. Till exempel:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Exempel
Om du vill skapa en Kerberos.keytab-fil för en värddator som inte kör Windows-operativsystemet måste du mappa huvudkontot till kontot och ange lösenordet för värdens huvudnamn.
Använd Active Directory Användare och datorer snapin-modul för att skapa ett användarkonto för en tjänst på en dator som inte kör Windows-operativsystemet. Skapa till exempel ett konto med namnet User1.
Använd kommandot ktpass för att konfigurera en identitetsmappning för användarkontot genom att skriva:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setAnmärkning
Du kan inte mappa flera tjänstinstanser till samma användarkonto.
Sammanfoga .keytab-filen med /Etc/Krb5.keytab fil på en värddator som inte kör Windows-operativsystemet.