Megosztás:

Az adutil – Active Directory segédprogram bemutatása

A következőkre vonatkozik:SQL Server Linux rendszeren

Az adutil eszköz parancssori felületi (CLI) segédprogram az SQL Server windowsos Active Directory-tartományainak Konfigurálásához és kezeléséhez Linuxon és tárolókon anélkül, hogy az Active Directory kezeléséhez Windows és Linux rendszerű gépek között váltana. Győződjön meg arról, hogy a adutil fájlt egy olyan gazdagépre tölti le, amely már csatlakozott egy Active Directory-tartományhoz.

Az adutil támogatása csak SQL Server-használati esetekre korlátozódik.

Nem kell adutil használatával engedélyeznie az Active Directory-hitelesítést az SQL Serverhez Linuxon vagy tárolókon. Olyan segédprogramokat is használhat, mint a ktpass, ahogyan az oktatóanyagban is olvasható: Active Directory-hitelesítés használata SQL Serverrel Linux.

Az adutil eszköz parancsok és alparancsok sorozataként lett kialakítva, további bemenetként megadott további jelzőkkel. Minden felső szintű parancs a felügyeleti függvények kategóriáját jelöli. Ebben a kategóriában minden alparancs egy művelet. Ez a cikk bemutatja, hogyan töltheti le és használhatja a adutil.

Az adutil konfigurálása az LDAP-hoz a Secure Sockets Layer (SSL) protokollal

Az Lightweight Directory Access Protocolt SSL-en (LDAPS) keresztül kell használnia a Lightweight Directory Access Protocol (LDAP) helyett. Ha többet szeretne megtudni az LDAP-ról, tekintse meg Lightweight Directory Access Protocol (LDAP).

A useLdaps beállítást beállíthatja úgy, hogy true a adutil.json konfigurációs fájlban, amely a következő helyen található: /var/opt/mssql/.adutil/adutil.json, amikor a mssql felhasználó alatt fut. Ez a JSON-kódminta a beállítás konfigurálását mutatja be:

{
    "useLdaps": "true"
}

Alapértelmezés szerint a useLDAPS beállítás falseértékre van állítva. Ha ezt a beállítást konfigurálja, és mssql-conf használatával hozza létre a kulcstáblát (kulcstáblát), győződjön meg arról, hogy mssql-conf futtatja a felhasználó mssql, amelyet az alábbi parancs futtatásával végezhet el:

sudo su mssql

A keytab mssql-confhasználatával történő beállításához lásd: Az SQL Server szolgáltatás keytab-fájljának létrehozása mssql-confhasználatával.

Az adutil telepítése

Ha a telepítés során nem fogadja el a végfelhasználói licencszerződést (EULA), a adutil parancs első futtatásakor a --accept-eula jelzővel kell futtatnia (minden disztribúció esetében).

  1. Töltse le a Microsoft Red Hat-adattár konfigurációs fájlját.

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Ha az adutil korábbi előzetes verziója volt telepítve, távolítsa el a régebbi adutil csomagokat az alábbi paranccsal.

    sudo yum remove adutil-preview

  3. Futtassa az alábbi parancsokat az adutiltelepítéséhez. ACCEPT_EULA=Y elfogadja az adutilEULA-ját. Az EULA a /usr/share/adutil/útvonalon található.

    sudo ACCEPT_EULA=Y yum install -y adutil

A Windows Active Directory kezelése az adutil használatával

Győződjön meg arról, hogy a adutil fájlt egy olyan gazdagépre tölti le, amely már csatlakozott egy Active Directory-tartományhoz. A Kerberos TGT -t (jegykiadó jegyet) is be kell szereznie vagy meg kell újítania a kinit paranccsal és egy emelt szintű tartományi fiókkal. A fiók, amelyet használ, rendelkeznie kell engedéllyel a tartományban fiókok és Szolgáltatásnév alapú névjegyek (SPN-ek) létrehozásához.

Íme néhány példa az adutilhasználatával végrehajtható műveletekre. A legfelső szintű parancsok listájának megtekintéséhez írja be a adutil --help. Ez a parancs azokat a legfelső szintű parancsokat mutatja be, amelyekkel kezelheti és együttműködhet az Active Directoryval.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Ha a parancsok következő szintjével kapcsolatban szeretne segítséget kérni, futtassa a következő súgóbeállítást:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Minták

Minden parancs dokumentálva van, így azonnal megkezdheti az első lépéseket. Íme néhány olyan jellemző tevékenység, amelyet az adutil az SQL Server Active Directory-hitelesítésének linuxos és tárolókon történő konfigurálásakor vagy felügyeletekor használnak:

  • Fiók létrehozása az Active Directoryban:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Fiókhoz vagy szolgáltatáshoz társított SPN-ek hozzáadása:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Kulcstabs létrehozása adutilhasználatával:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Vigyázat

    A jelszónak az SQL Server alapértelmezett jelszóházirendetkell követnie. Alapértelmezés szerint a jelszónak legalább nyolc karakter hosszúnak kell lennie, és a következő négy készletből három karakterből kell állnia: nagybetűk, kisbetűk, 10 számjegyből és szimbólumokból. A jelszavak legfeljebb 128 karakter hosszúak lehetnek. Használjon olyan jelszavakat, amelyek a lehető legkomplexebbek és hosszúak.

A adutil referencia-manuális oldalára a man adutilparancs használatával hivatkozhat.

Kapcsolódó tartalom

  • Last updated on