Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о
Применимо к:
SQL Server в Linux
Средство adutil — это программа интерфейса командной строки для настройки доменов Windows Active Directory и управления ими для SQL Server на Linux и контейнеров. Это устраняет необходимость переключения между Windows и компьютерами Linux для управления Active Directory.
Замечание
Поддержка adutil ограничена только вариантами использования SQL Server. Вы также можете использовать другие служебные программы, такие как ktpass для включения проверки подлинности Active Directory, как описано в Tutorial: используйте проверку подлинности Active Directory с SQL Server на Linux.
Прежде чем приступить к работе, убедитесь, что вы скачали adutil на узел, который уже присоединен к домену Active Directory.
Инструмент adutil разработан как серия команд и подкоманд с дополнительными флагами, представляющими собой дополнительные входные данные. Каждая команда верхнего уровня представляет категорию административных функций. В этой категории каждая подкоманда является операцией. В этой статье показано, как скачать и приступить к работе с adutil.
Настройка adutil протокола LDAP по протоколу SSL
Вместо использования протокола Lightweight Directory Access Protocol (LDAP) рекомендуется использовать протокол Lightweight Directory Access Protocol over SSL (LDAPS). Дополнительные сведения о протоколе LDAP см. в статье "Упрощенный протокол доступа к каталогам" (LDAP).
Вы можете установить параметр useLdaps в значение true в файле конфигурации adutil.json. При запуске adutil под пользователем mssql файл конфигурации находится в /var/opt/mssql/.adutil/adutil.json. В этом образце кода JSON показано, как настроить параметр:
{
"useLdaps": "true"
}
По умолчанию useLdaps — это false. При настройке этого параметра и использовании mssql-conf для создания keytab (таблицы ключей) mssql-conf убедитесь, что вы запускаете mssql от имени данного пользователя. Выполните следующую команду, чтобы переключиться на пользователя mssql.
sudo su mssql
Чтобы настроить keytab с помощью mssql-conf, см. раздел Создание файла keytab для службы SQL Server с помощью mssql-conf.
Установить adutil
Если вы не принимаете лицензионное соглашение конечного пользователя (EULA) во время установки, при первом запуске adutil команды необходимо запустить его с --accept-eula флагом (для всех дистрибутивов).
Скачайте файл конфигурации репозитория Red Hat Microsoft.
RHEL 10
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repoRHEL 9
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repoRHEL 8
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repoЕсли вы установили предыдущую предварительную версию
adutil, удалите все старыеadutilпакеты с помощью следующей команды.sudo yum remove adutil-previewЧтобы установить
adutil, выполните следующую команду.ACCEPT_EULA=Yпринимает лицензионное соглашение дляadutil. EULA находится в/usr/share/adutil/.sudo ACCEPT_EULA=Y yum install -y adutil
Управление Windows Active Directory с помощью adutil
Чтобы использовать adutil, необходимо получить или продлить TGT Kerberos (билет на предоставление билетов) с помощью kinit команды и привилегированной учетной записи домена. Учетная запись, которую вы используете, должна иметь разрешения на создание учетных записей и имен основных служб (SPN) в домене.
В следующих примерах показаны некоторые типичные действия, которые можно выполнить с помощью adutil. Чтобы просмотреть список команд верхнего уровня, введите adutil --help.
adutil --help
Вы увидите такой результат:
adutil - A general AD utility
Usage:
adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
Subcommands:
account Functions for generic account operations
delegation Functions for configuring delegation permissions
group Functions for group management
keytab Functions for keytab management
machine Functions for managing machine accounts
ou Functions for managing organizational units
spn Functions for service principal name (SPN) management
user Functions for user account management
config Functions for modifying adutil configuration
Flags:
--version Displays the program version string.
-h --help Displays help with available flag, subcommand, and positional value parameters.
-d --debug Display additional debugging information when making LDAP/Kerberos calls.
--accept-eula Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.
Чтобы получить справку по командам нижнего уровня, используйте следующие примеры:
spnкоманда:adutil spn --helpspn searchкоманда:adutil spn search --help
Примеры
Каждая команда задокументирована, поэтому вы можете сразу приступить к работе. Ниже приведены некоторые типичные действия, которые adutil используются при настройке или администрировании проверки подлинности Active Directory для SQL Server на Linux и контейнеров:
Создайте учетную запись в Active Directory:
adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COMСоздайте имена субъектов служб, связанных с учетной записью или сервисом.
adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433Создайте таблицы ключей с помощью
adutil:adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvcВнимание
Пароль должен соответствовать политике SQL Server по умолчанию password. По умолчанию пароль должен быть не короче восьми символов и содержать три вида символов из следующих: прописные буквы, строчные буквы, десятичные цифры, специальные символы. Пароли могут иметь длину до 128 символов. Рекомендуется использовать максимально длинные и сложные пароли.
Для получения дополнительной информации см. страницу справочного руководства adutil с использованием man adutil.