Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Mengonfigurasi nama utama server untuk host atau layanan di Active Directory Domain Services (AD DS) dan menghasilkan file .keytab yang berisi kunci rahasia bersama layanan. File .keytab didasarkan pada implementasi Massachusetts Institute of Technology (MIT) dari protokol autentikasi Kerberos. Alat baris perintah ktpass memungkinkan layanan non-Windows yang mendukung autentikasi Kerberos untuk menggunakan fitur interoperabilitas yang disediakan oleh layanan Kerberos Key Distribution Center (KDC).
Sintaks
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameter
| Pengaturan | Deskripsi |
|---|---|
/keluar <filename> |
Menentukan nama file .keytab Kerberos versi 5 yang akan dihasilkan. Catatan: Ini adalah file .keytab yang Anda transfer ke komputer yang tidak menjalankan sistem operasi Windows, lalu ganti atau gabungkan dengan file .keytab yang ada, /Etc/Krb5.keytab. |
/PRIN <principalname> |
Menentukan nama utama dalam host formulir/computer.contoso.com@CONTOSO.COM. Peringatan: Parameter ini peka huruf besar/kecil. |
/pengguna peta <useraccount> |
Memetakan nama prinsipal Kerberos, yang ditentukan oleh parameter utama , ke akun domain yang ditentukan. |
/mapop {add|set} |
Menentukan bagaimana atribut pemetaan diatur.
|
{-|+}desonly |
Enkripsi khusus DES diatur secara default.
|
/di <filename> |
Menentukan file .keytab untuk dibaca dari komputer host yang tidak menjalankan sistem operasi Windows. |
/lulus {password|*|{-|+}rndpass} |
Menentukan kata sandi untuk nama pengguna utama yang ditentukan oleh parameter utama . Gunakan * untuk meminta kata sandi. |
| /minpass | Mengatur panjang minimum kata sandi acak menjadi 15 karakter. |
| /maxpass | Mengatur panjang maksimum kata sandi acak menjadi 256 karakter. |
/Kripto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Menentukan kunci yang dihasilkan dalam file keytab:
Catatan: Karena pengaturan default didasarkan pada versi MIT yang lebih lama, Anda harus selalu menggunakan |
| /hitungan iter. | Menentukan jumlah iterasi yang digunakan untuk enkripsi AES. Default mengabaikan itercount untuk enkripsi non-AES dan mengatur enkripsi AES ke 4.096. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Menentukan jenis utama.
|
/kvno <keyversionnum> |
Menentukan nomor versi kunci. Nilai default adalah 1. |
/menjawab {-|+} |
Mengatur mode jawaban latar belakang:
|
| /Target | Mengatur pengendali domain mana yang akan digunakan. Defaultnya adalah agar pengontrol domain terdeteksi, berdasarkan nama utama. Jika nama pengendali domain tidak teratasi, kotak dialog akan meminta pengontrol domain yang valid. |
| /garam mentah | memaksa ktpass untuk menggunakan algoritma rawsalt saat menghasilkan kunci. Parameter ini bersifat opsional. |
{-|+}dumpsalt |
Output parameter ini menunjukkan algoritma garam MIT yang sedang digunakan untuk menghasilkan kunci. |
{-|+}setupn |
Mengatur nama prinsipal pengguna (UPN) selain nama prinsipal layanan (SPN). Defaultnya adalah mengatur keduanya dalam file .keytab. |
{-|+}setpass <password> |
Mengatur kata sandi pengguna saat disediakan. Jika rndpass digunakan, kata sandi acak dihasilkan sebagai gantinya. |
| /? | Menampilkan Bantuan untuk perintah ini. |
Keterangan
Layanan yang berjalan pada sistem yang tidak menjalankan sistem operasi Windows dapat dikonfigurasi dengan akun instans layanan di AD DS. Ini memungkinkan klien Kerberos untuk mengautentikasi ke layanan yang tidak menjalankan sistem operasi Windows dengan menggunakan KDC Windows.
Parameter /princ tidak dievaluasi oleh ktpass dan digunakan sebagaimana disediakan. Tidak ada pemeriksaan untuk melihat apakah parameter cocok dengan kasus yang tepat dari nilai atribut userPrincipalName saat membuat file Keytab. Distribusi Kerberos yang peka huruf besar/kecil menggunakan file Keytab ini mungkin memiliki masalah jika tidak ada kecocokan kasus yang tepat, dan bahkan dapat gagal selama pra-autentikasi. Untuk memeriksa dan mengambil nilai atribut userPrincipalName yang benar dari file ekspor LDifDE. Contohnya:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Contoh
Untuk membuat file .keytab Kerberos untuk komputer host yang tidak menjalankan sistem operasi Windows, Anda harus memetakan prinsipal ke akun dan mengatur kata sandi utama host.
Gunakan snap-in Pengguna dan komputer direktori aktif untuk membuat akun pengguna untuk layanan di komputer yang tidak menjalankan sistem operasi Windows. Misalnya, buat akun dengan nama User1.
Gunakan perintah ktpass untuk menyiapkan pemetaan identitas untuk akun pengguna dengan mengetik:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setCatatan
Anda tidak dapat memetakan beberapa instans layanan ke akun pengguna yang sama.
Gabungkan file .keytab dengan file /Etc/Krb5.keytab pada komputer host yang tidak menjalankan sistem operasi Windows.