Úvod do adutilu – nástroj Active Directory

Platí pro:SQL Server na Linuxu

Nástroj adutil je nástroj příkazového řádku (CLI) pro konfiguraci a správu Windows Active Directory domén pro SQL Server on Linux a kontejnery. Eliminuje nutnost přepínat mezi Windows a počítači s Linuxem, aby bylo možné spravovat Active Directory.

Poznámka:

Podpora adutil je omezená jenom na případy použití SQL Server. K povolení ověřování Active Directory můžete použít také další nástroje, jako je ktpass, jak je vysvětleno v tématu Tutorial: Použití ověřování Active Directory s SQL Server on Linux.

Než začnete, nezapomeňte si stáhnout adutil k hostiteli, který je již připojený k Active Directory doméně.

Nástroj adutil je navržen jako řada příkazů a dílčích příkazů s dalšími příznaky, které zadáte jako další vstup. Každý příkaz nejvyšší úrovně představuje kategorii funkcí správy. V rámci této kategorie je každý podpříkaz operace. V tomto článku se dozvíte, jak stáhnout a začít s adutilem.

Konfigurace adutilu pro PROTOKOL LDAP přes protokol SSL (Secure Sockets Layer)

Místo protokolu LDAP (Lightweight Directory Access Protocol) byste měli použít protokol LDAPS (Lightweight Directory Access Protocol over SSL). Další informace o protokolu LDAP naleznete v tématu Protokol LDAP (Lightweight Directory Access Protocol).

Můžete nastavit možnost useLdaps na true v konfiguračním souboru adutil.json. Když spustíte nástroj adutil pod mssql uživatelem, konfigurační soubor se nachází na /var/opt/mssql/.adutil/adutil.jsonadrese . Tento ukázkový kód JSON ukazuje, jak nakonfigurovat nastavení:

{
    "useLdaps": "true"
}

Ve výchozím nastavení je useLdapsfalse. Když nakonfigurujete toto nastavení a použijete mssql-conf k vytvoření klávesové zkratky (tabulka klíčů), ujistěte se, že jako uživatel spustíte mssql. Spuštěním následujícího příkazu přepněte na mssql uživatele:

sudo su mssql

Pokud chcete nastavit keytab pomocí mssql-conf, přečtěte si téma Vytvoření souboru keytab služby SQL Server pomocí mssql-conf.

Instalace nástroje adutil

Pokud během instalace nepřijmete licenční smlouvu s koncovým uživatelem (EULA) při prvním spuštění příkazu adutil , musíte ho spustit s příznakem --accept-eula (pro všechny distribuce).

  1. Stáhněte konfigurační soubor úložiště Microsoft Red Hat.

    RHEL 10

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repo

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Pokud jste nainstalovali předchozí verzi preview adutil, odeberte pomocí následujícího příkazu všechny starší balíčky adutil.

    sudo yum remove adutil-preview

  3. Spuštěním následujícího příkazu nainstalujte adutil. ACCEPT_EULA=Y přijímá smlouvu EULA pro adutil. EULA se nachází na adrese /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Použití nástroje adutil ke správě Windows Active Directory

Pokud chcete použít adutil, musíte získat nebo obnovit vstupenku pro poskytování vstupenek (TGT) protokolu Kerberos pomocí příkazu kinit s využitím privilegovaného účtu domény. Účet, který používáte, musí mít oprávnění k vytváření účtů a hlavních názvů služeb (SPN) v doméně.

Následující příklady ukazují některé typické aktivity, které můžete provádět pomocí nástroje adutil. Pokud chcete zobrazit seznam příkazů nejvyšší úrovně, zadejte adutil --help.

adutil --help

Zobrazí se následující výstup:

adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Nápovědu k příkazům nižší úrovně získáte pomocí následujících příkladů:

  • spn příkaz:

    adutil spn --help

  • spn search příkaz:

    adutil spn search --help

Vzorky

Každý příkaz je zdokumentovaný, abyste mohli začít hned. Tady jsou některé typické aktivity, které adutil používá při konfiguraci nebo správě ověřování Active Directory pro SQL Server na Linuxu a v kontejnerech:

  • Vytvoření účtu v Active Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Vytvořte SPN přidružené k účtu nebo službě:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Vytváření klíčových tabulek pomocí adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Opatrnost

    Vaše heslo by mělo splňovat výchozí zásady hesla pro SQL Server. Ve výchozím nastavení musí heslo obsahovat alespoň osm znaků a musí obsahovat znaky ze tří z následujících čtyř sad: velká písmena, malá písmena, číslice se základem 10 a symboly. Hesla můžou mít délku až 128 znaků. Používejte hesla, která jsou co nejdéle a složitá.

Pro více informací si prohlédněte referenční stránku nástroje adutil pomocí man adutil.

Související obsah

  • Last updated on