Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Nakonfiguruje hlavní název serveru pro hostitele nebo službu ve službě Active Directory Domain Services (AD DS) a vygeneruje soubor .keytab, který obsahuje sdílený tajný klíč služby. Soubor .keytab je založen na implementaci ověřovacího protokolu Kerberos v Massachusetts Institute of Technology (MIT). Nástroj příkazového řádku ktpass umožňuje službám mimo Windows, které podporují ověřování protokolem Kerberos, používat funkce interoperability poskytované službou KDC (Key Distribution Center).
Syntax
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameters
| Parameter | Description |
|---|---|
/ven <filename> |
Určuje název souboru Kerberos verze 5 .keytab, který se má vygenerovat. Poznámka: Jedná se o soubor .keytab, který přenesete do počítače bez operačního systému Windows a poté jej nahradíte nebo sloučíte se stávajícím souborem .keytab, /Etc/Krb5.keytab. |
/princ <principalname> |
Určuje hlavní název v hostiteli formuláře nebocomputer.contoso.com@CONTOSO.COM. Varování: V tomto parametru se rozlišují malá a velká písmena. |
/mapuser <useraccount> |
Mapuje název zaregistrovaného objektu Kerberos, který je určen parametrem princ , na zadaný účet domény. |
/mapop {add|set} |
Určuje, jak je nastaven atribut mapování.
|
{-|+}desonly |
Šifrování pouze DES je ve výchozím nastavení nastavené.
|
/v <filename> |
Určuje soubor .keytab, který se má číst z hostitelského počítače, na kterém není spuštěn operační systém Windows. |
/projít {password|*|{-|+}rndpass} |
Určuje heslo pro hlavní uživatelské jméno, které je určeno parametrem princ . K zobrazení výzvy k zadání hesla použijte *. |
| /minpass | Nastaví minimální délku náhodného hesla na 15 znaků. |
| /maxpass | Nastaví maximální délku náhodného hesla na 256 znaků. |
/Crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Určuje klíče vygenerované v souboru keytab:
Poznámka: Vzhledem k tomu, že výchozí nastavení je založeno na starších verzích MIT, měli byste parametr vždy používat |
| /itercount | Určuje počet iterací, který se používá pro šifrování AES. Výchozí nastavení ignoruje itercount pro šifrování jiné než AES a nastaví šifrování AES na 4 096. |
/typ souboru {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Určuje typ objektu zabezpečení.
|
/kvno <keyversionnum> |
Určuje číslo verze klíče. Výchozí hodnota je 1. |
/odpověď {-|+} |
Nastaví režim odpovědi na pozadí:
|
| /target | Nastaví, který řadič domény se má použít. Výchozí hodnota je pro zjištění řadiče domény na základě hlavního názvu. Pokud se název řadiče domény nepřeloží, zobrazí se dialogové okno s výzvou k zadání platného řadiče domény. |
| /rawsalt | vynutí ktpass použít nezpracovaný algoritmus při generování klíče. Tento parametr je volitelný. |
{-|+}dumpsalt |
Výstup tohoto parametru ukazuje algoritmus soli MIT, který se používá k vygenerování klíče. |
{-|+}setupn |
Nastaví hlavní název uživatele (UPN) kromě hlavního názvu služby (SPN). Výchozí hodnota je nastavit oba v souboru .keytab. |
{-|+}setpass <password> |
Nastaví heslo uživatele při zadání. Pokud se použije rndpass, vygeneruje se místo toho náhodné heslo. |
| /? | Zobrazí nápovědu pro tento příkaz. |
Remarks
Služby spuštěné v systémech, na kterých není operační systém Windows, je možné nakonfigurovat s účty instancí služby ve službě AD DS. To umožňuje, aby se každý klient Kerberos ověřil u služeb, které nepoužívají operační systém Windows pomocí klientských klientských počítačů s Windows.
Parametr /princ není vyhodnocen ktpass a používá se tak, jak je uvedeno. Při generování souboru tabulky klíčů není možné kontrolovat, zda parametr přesně odpovídá velikosti písmen hodnoty atributu userPrincipalName . Distribuce protokolu Kerberos citlivé na malá a velká písmena používající tento soubor Keytab můžou mít problémy, pokud se neshodují přesně s případem, a může dokonce při předběžném ověření selhat. Kontrola a načtení správné hodnoty atributu userPrincipalName z exportního souboru LDifDE. For example:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Examples
Pokud chcete vytvořit soubor Kerberos .keytab pro hostitelský počítač, na kterém není spuštěný operační systém Windows, musíte objekt zabezpečení namapovat na účet a nastavit hlavní heslo hostitele.
Pomocí modulu snap-in Active Directory Uživatel a počítače vytvořit uživatelský účet pro službu v počítači, na kterém není spuštěn operační systém Windows. Vytvořte si například účet s názvem Uživatel1.
Pomocí příkazu ktpass nastavte mapování identity pro uživatelský účet zadáním příkazu:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setNote
Nelze namapovat více instancí služby na stejný uživatelský účet.
Sloučit soubor .keytab se souborem /Etc/Krb5.keytab v hostitelském počítači, na kterém není spuštěn operační systém Windows.