Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server в Linux
Средство adutil — это программа интерфейса командной строки для настройки доменов Windows Active Directory и управления ими для SQL Server on Linux и контейнеров. Это устраняет необходимость переключения между Windows и компьютерами Linux для управления Active Directory.
Замечание
Поддержка adutil ограничена только вариантами использования SQL Server. Вы также можете использовать другие служебные программы, такие как ktpass для включения проверки подлинности Active Directory, как описано в Tutorial: используйте проверку подлинности Active Directory с SQL Server on Linux.
Перед началом убедитесь, что вы скачали adutil на хост, который уже присоединен к домену Active Directory.
Средство adutil разработано в виде набора команд и подкоманд с дополнительными флагами параметров, которые указываются в качестве дальнейших входных данных. Каждая команда верхнего уровня представляет категорию административных функций. В этой категории каждая подкоманда является операцией. В этой статье показано, как скачать и приступить к работе с adutil.
Настройка adutil для LDAP по протоколу SSL
Вместо использования протокола Lightweight Directory Access Protocol (LDAP) рекомендуется использовать протокол Lightweight Directory Access Protocol over SSL (LDAPS). Дополнительные сведения о протоколе LDAP см. в статье "Упрощенный протокол доступа к каталогам" (LDAP).
Вы можете установить параметр useLdaps в значение true в файле конфигурации adutil.json. При запуске adutil под пользователем mssql, файл конфигурации находится в /var/opt/mssql/.adutil/adutil.json. В этом образце кода JSON показано, как настроить параметр:
{
"useLdaps": "true"
}
По умолчанию useLdaps — это false. При настройке этого параметра и использовании mssql-conf для создания keytab (таблицы ключей), убедитесь, что выполняется от имени пользователя mssql. Выполните следующую команду, чтобы переключиться на пользователя mssql.
sudo su mssql
Для настройки keytab с помощью mssql-conf см. Создание файла keytab службы SQL Server с помощью mssql-conf.
Установите adutil
Если вы не принимаете лицензионное соглашение конечного пользователя (EULA) во время установки, при первом запуске команды adutil необходимо запустить его с --accept-eula флагом (для всех дистрибутивов).
Скачайте файл конфигурации репозитория Red Hat Microsoft.
RHEL 10
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repoRHEL 9
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repoRHEL 8
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repoЕсли вы установили предыдущую предварительную версию adutil, удалите все старые пакеты adutil с помощью следующей команды.
sudo yum remove adutil-previewВыполните приведенную ниже команду для установки adutil.
ACCEPT_EULA=Yпринимает условия лицензионного соглашения для adutil. EULA находится в/usr/share/adutil/.sudo ACCEPT_EULA=Y yum install -y adutil
Использование adutil для управления Windows Active Directory
Чтобы использовать adutil, необходимо получить или продлить TGT Kerberos (билет на предоставление билетов) с помощью команды kinit и привилегированной учетной записи домена. Учетная запись, которую вы используете, должна иметь разрешения на создание учетных записей и имен основных служб (SPN) в домене.
В следующих примерах показаны некоторые типичные действия, которые можно выполнить с помощью adutil. Чтобы просмотреть список команд верхнего уровня, введите adutil --help.
adutil --help
Вы увидите такой результат:
adutil - A general AD utility
Usage:
adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
Subcommands:
account Functions for generic account operations
delegation Functions for configuring delegation permissions
group Functions for group management
keytab Functions for keytab management
machine Functions for managing machine accounts
ou Functions for managing organizational units
spn Functions for service principal name (SPN) management
user Functions for user account management
config Functions for modifying adutil configuration
Flags:
--version Displays the program version string.
-h --help Displays help with available flag, subcommand, and positional value parameters.
-d --debug Display additional debugging information when making LDAP/Kerberos calls.
--accept-eula Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.
Чтобы получить справку по командам нижнего уровня, используйте следующие примеры:
spnкоманда:adutil spn --helpspn searchкоманда:adutil spn search --help
Примеры
Каждая команда задокументирована, поэтому вы можете сразу приступить к работе. Ниже приведены некоторые типичные действия, для которых adutil используется при настройке или администрировании проверки подлинности Active Directory для SQL Server на Linux и в контейнерах.
Создайте учетную запись в Active Directory:
adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COMСоздайте имена субъектов служб, связанных с учетной записью или сервисом.
adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433Создание файлов keytab с помощью adutil:
adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvcВнимание
Пароль должен соответствовать политике SQL Server по умолчанию password. По умолчанию пароль должен быть не короче восьми символов и содержать три вида символов из следующих: прописные буквы, строчные буквы, десятичные цифры, специальные символы. Пароли могут иметь длину до 128 символов. Рекомендуется использовать максимально длинные и сложные пароли.
Для получения дополнительной информации см. справочную страницу adutil, используя man adutil.