Úvod do adutil – nástroj služba Active Directory

Platí pro:SQL Server na Linuxu

Nástroj adutil je nástroj příkazového řádku (CLI) pro konfiguraci a správu Windows služba Active Directory domén pro SQL Server on Linux a kontejnery. Eliminuje nutnost přepínat mezi Windows a počítači s Linuxem, aby bylo možné spravovat služba Active Directory.

Poznámka:

Podpora adutil je omezená pouze na případy použití SQL Server. K povolení ověřování služba Active Directory můžete použít také další nástroje, jako je ktpass, jak je vysvětleno v tématu Tutorial: Použití ověřování služba Active Directory s SQL Server on Linux.

Než začnete, nezapomeňte si stáhnout adutil na hostitele, který je již připojený k služba Active Directory doméně.

Nástroj adutil je navržený jako řada příkazů a dílčích příkazů s dalšími příznaky, které zadáte jako další vstup. Každý příkaz nejvyšší úrovně představuje kategorii funkcí správy. V rámci této kategorie je každý podpříkaz operace. Tento článek ukazuje, jak stáhnout a začít s adutil.

Konfigurace adutil protokolu LDAP přes protokol SSL (Secure Sockets Layer)

Místo protokolu LDAP (Lightweight Directory Access Protocol) byste měli použít protokol LDAPS (Lightweight Directory Access Protocol over SSL). Další informace o protokolu LDAP naleznete v tématu Protokol LDAP (Lightweight Directory Access Protocol).

Můžete nastavit možnost useLdaps na true v konfiguračním souboru adutil.json. Když spustíte adutil pod uživatelem mssql , konfigurační soubor se nachází na /var/opt/mssql/.adutil/adutil.jsonadrese . Tento ukázkový kód JSON ukazuje, jak nakonfigurovat nastavení:

{
    "useLdaps": "true"
}

Ve výchozím nastavení je useLdapsfalse. Když toto nastavení nakonfigurujete a použijete mssql-conf k vytvoření keytabu (tabulky klíčů), ujistěte se, že spustíte mssql-conf jako uživatel mssql. Spuštěním následujícího příkazu přepněte na mssql uživatele:

sudo su mssql

Pokud chcete nastavit keytab pomocí mssql-conf, přečtěte si téma Vytvoření souboru keytab služby SQL Server pomocí mssql-conf.

Instalace aplikace adutil

Pokud během instalace nepřijmete licenční smlouvu s koncovým uživatelem (EULA), musíte ho při prvním spuštění adutil příkazu spustit s příznakem --accept-eula (pro všechna distribuce).

  1. Stáhněte konfigurační soubor úložiště Microsoft Red Hat.

    RHEL 10

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repo

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Pokud jste nainstalovali předchozí verzi adutilPreview , pomocí následujícího příkazu odeberte všechny starší adutil balíčky.

    sudo yum remove adutil-preview

  3. Instalaci provedete adutilspuštěním následujícího příkazu. ACCEPT_EULA=Y přijímá smlouvu EULA pro adutil. EULA se nachází na adrese /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Použití adutil ke správě Windows služba Active Directory

Pokud chcete použít adutil, musíte pomocí příkazu kinit a privilegovaného účtu v doméně získat nebo obnovit TGT (ticket-granting ticket) protokolu Kerberos. Účet, který používáte, musí mít oprávnění k vytváření účtů a hlavních názvů služeb (SPN) v doméně.

Následující příklady ukazují některé typické aktivity, které můžete provádět pomocí adutil. Pokud chcete zobrazit seznam příkazů nejvyšší úrovně, zadejte adutil --help.

adutil --help

Zobrazí se následující výstup:

adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Nápovědu k příkazům nižší úrovně získáte pomocí následujících příkladů:

  • spn příkaz:

    adutil spn --help

  • spn search příkaz:

    adutil spn search --help

Vzorky

Každý příkaz je zdokumentovaný, abyste mohli začít hned. Tady jsou některé typické aktivity, které se adutil používá při konfiguraci nebo správě ověřování služba Active Directory pro SQL Server na Linuxu a kontejnerech:

  • Vytvoření účtu v služba Active Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Vytvořte SPN přidružené k účtu nebo službě:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Vytváření klávesových tabulek pomocí adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Opatrnost

    Vaše heslo by mělo splňovat výchozí zásady hesla pro SQL Server. Ve výchozím nastavení musí heslo obsahovat alespoň osm znaků a musí obsahovat znaky ze tří z následujících čtyř sad: velká písmena, malá písmena, číslice se základem 10 a symboly. Hesla můžou mít délku až 128 znaků. Používejte hesla, která jsou co nejdéle a složitá.

Další informace naleznete na stránce referenční příručky adutil pomocí man adutil.

Související obsah

  • Last updated on