Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Configura il nome dell'entità server per l'host o il servizio in servizi di dominio Active Directory (AD DS) e genera un file .keytab che contiene la chiave segreta condivisa del servizio. Il file KEYTAB è basato sull'implementazione del protocollo di autenticazione Kerberos del Massachusetts Institute of Technology (MIT). Lo strumento riga di comando ktpass consente ai servizi non Windows che supportano l'autenticazione Kerberos di utilizzare le funzionalità di interoperabilità fornite dal servizio Centro distribuzione chiavi (KDC) di Kerberos.
Syntax
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameters
| Parameter | Description |
|---|---|
/Cambio <filename> |
Specifica il nome del file Kerberos versione 5 .keytab da generare. Note: This is the .keytab file you transfer to a computer that isn't running the Windows operating system, and then replace or merge with your existing .keytab file, /Etc/Krb5.keytab. |
/princ <principalname> |
Specifica il nome principale nel modulo host/computer.contoso.com@CONTOSO.COM. Warning: This parameter is case-sensitive. |
/mapuser <useraccount> |
Maps the name of the Kerberos principal, which is specified by the princ parameter, to the specified domain account. |
/mapop {add|set} |
Specifica come viene impostato l'attributo di mapping.
|
{-|+}desonly |
La crittografia DES-only viene impostata per impostazione predefinita.
|
/in <filename> |
Specifica il file .keytab per leggere da un computer host che non è in esecuzione il sistema operativo Windows. |
/passare {password|*|{-|+}rndpass} |
Specifies a password for the principal user name that is specified by the princ parameter. Utilizzare * per richiedere una password. |
| /minpass | Imposta la lunghezza minima della password casuali a 15 caratteri. |
| /maxpass | Imposta la lunghezza massima della password casuali a 256 caratteri. |
/cripto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Specifica le chiavi che vengono generate nel file keytab:
Note: Because the default settings are based on older MIT versions, you should always use the |
| /itercount | Specifica il conteggio delle iterazioni che viene utilizzato per la crittografia AES. The default ignores itercount for non-AES encryption and sets AES encryption to 4,096. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Specifica il tipo di entità.
|
/kvno <keyversionnum> |
Specifica il numero di versione della chiave. Il valore predefinito è 1. |
/risposta {-|+} |
Imposta la modalità di risposta in background:
|
| /target | Imposta il controller di dominio da utilizzare. Il valore predefinito è per il controller di dominio essere rilevato, in base al nome dell'entità. Se il nome del controller di dominio non viene risolto, verrà visualizzata una finestra di dialogo in cui verrà richiesto un controller di dominio valido. |
| /rawsalt | forza ktpass a utilizzare l'algoritmo rawsalt durante la generazione della chiave. Il parametro è facoltativo. |
{-|+}dumpsalt |
L'output di questo parametro indica l'algoritmo salt MIT utilizzato per generare la chiave. |
{-|+}setupn |
Imposta il nome dell'entità utente (UPN) oltre al nome dell'entità servizio (SPN). Per impostazione predefinita viene impostato nel file .keytab. |
{-|+}setpass <password> |
Imposta la password dell'utente quando fornito. Se si utilizza rndpass, viene generata invece una password casuale. |
| /? | Visualizza la Guida per questo comando. |
Remarks
I servizi in esecuzione in sistemi che non eseguono il sistema operativo Windows possono essere configurati con account di istanza del servizio in Servizi di dominio Active Directory. In questo modo qualsiasi client Kerberos per l'autenticazione ai servizi che non eseguono il sistema operativo Windows mediante Windows KDC.
The /princ parameter isn't evaluated by ktpass and is used as provided. There's no check to see if the parameter matches the exact case of the userPrincipalName attribute value when generating the Keytab file. Le distribuzioni Kerberos con distinzione tra maiuscole e minuscole che utilizzano questo file Keytab potrebbero avere problemi se non esiste una corrispondenza esatta tra maiuscole e minuscole e potrebbero anche non riuscire durante la pre-autenticazione. To check and retrieve the correct userPrincipalName attribute value from a LDifDE export file. For example:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Examples
Per creare un file Kerberos .keytab per un computer host che non esegue il sistema operativo Windows, è necessario eseguire la mappatura del principale all'account e impostare la password dell'entità host.
Utilizzare lo snap-in Active Directory Utente e computer per creare un account utente per un servizio in un computer che non esegue il sistema operativo Windows. For example, create an account with the name User1.
Use the ktpass command to set up an identity mapping for the user account by typing:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setNote
È Impossibile eseguire il mapping di più istanze del servizio per lo stesso account utente.
Merge the .keytab file with the /Etc/Krb5.keytab file on a host computer that isn't running the Windows operating system.