Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Konfigurerar serverns huvudnamn för värden eller tjänsten i Active Directory Domain Services (AD DS) och genererar en .keytab-fil som innehåller tjänstens delade hemliga nyckel. .keytab-filen baseras på Massachusetts Institute of Technology-implementeringen (MIT) av Kerberos-autentiseringsprotokollet. Med kommandoradsverktyget ktpass kan icke-Windows-tjänster som stöder Kerberos-autentisering använda de samverkansfunktioner som tillhandahålls av Kerberos Key Distribution Center-tjänsten (KDC).
Syntax
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameterar
Parameter | Beskrivning |
---|---|
/ut <filename> |
Anger namnet på kerberos-filen version 5 .keytab som ska genereras. Obs! Det här är .keytab-filen som du överför till en dator som inte kör Windows-operativsystemet och sedan ersätter eller sammanfogar med din befintliga .keytab-fil /Etc/Krb5.keytab. |
/princ <principalname> |
Anger huvudnamnet i formuläret värd/computer.contoso.com@CONTOSO.COM. Varning: Den här parametern är skiftlägeskänslig. |
/mapuser <useraccount> |
Mappar namnet på Kerberos-huvudnamnet, som anges av parametern princ, till det angivna domänkontot. |
/mapop {add|set} |
Anger hur mappningsattributet anges.
|
{-|+} desonly |
Endast DES-kryptering anges som standard.
|
/i <filename> |
Anger den .keytab-fil som ska läsas från en värddator som inte kör Windows-operativsystemet. |
/passera {password|*|{-|+}rndpass} |
Anger ett lösenord för det huvudanvändarnamn som anges av parametern princ. Använd * för att fråga efter ett lösenord. |
/minpass | Anger den minsta längden på det slumpmässiga lösenordet till 15 tecken. |
/maxpass | Anger den maximala längden på det slumpmässiga lösenordet till 256 tecken. |
/krypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Anger de nycklar som genereras i nyckelfliksfilen:
Obs! Eftersom standardinställningarna baseras på äldre MIT-versioner bör du alltid använda parametern |
/itercount | Anger det iterationsantal som används för AES-kryptering. Standardvärdet ignorerar itercount- för icke-AES-kryptering och anger AES-kryptering till 4 096. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Anger huvudtypen.
|
/kvno <keyversionnum> |
Anger nyckelversionsnumret. Standardvärdet är 1. |
/svar {-|+} |
Anger svarsläget i bakgrunden:
|
/mål | Anger vilken domänkontrollant som ska användas. Standardvärdet är att domänkontrollanten identifieras baserat på huvudnamnet. Om namnet på domänkontrollanten inte löser problemet uppmanas en dialogruta att ange en giltig domänkontrollant. |
/råsalt | tvingar ktpass att använda rawsalt-algoritmen när nyckeln genereras. Den här parametern är valfri. |
{-|+}dumpsalt |
Utdata från den här parametern visar MIT-saltalgoritmen som används för att generera nyckeln. |
{-|+}setupn |
Anger användarens huvudnamn (UPN) utöver tjänstens huvudnamn (SPN). Standardvärdet är att ange båda i .keytab-filen. |
{-|+}setpass <password> |
Anger användarens lösenord när det anges. Om rndpass används genereras ett slumpmässigt lösenord i stället. |
/? | Visar Hjälp för det här kommandot. |
Anmärkningar
Tjänster som körs på system som inte kör Windows-operativsystemet kan konfigureras med tjänstinstanskonton i AD DS. Detta gör att alla Kerberos-klienter kan autentisera till tjänster som inte kör Windows-operativsystemet med hjälp av Windows KDCs.
Parametern /princ utvärderas inte av ktpass och används som tillhandahålls. Det finns ingen kontroll för att se om parametern matchar det exakta fallet för userPrincipalName attributvärde när du genererar Keytab-filen. Skiftlägeskänsliga Kerberos-distributioner med den här Keytab-filen kan ha problem om det inte finns någon exakt skiftlägesmatchning och till och med kan misslyckas under förautentiseringen. Kontrollera och hämta rätt userPrincipalName attributvärde från en LDifDE-exportfil. Till exempel:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Exempel
Om du vill skapa en Kerberos.keytab-fil för en värddator som inte kör Windows-operativsystemet måste du mappa huvudkontot till kontot och ange lösenordet för värdens huvudnamn.
Använd Active Directory Användare och datorer snapin-modul för att skapa ett användarkonto för en tjänst på en dator som inte kör Windows-operativsystemet. Skapa till exempel ett konto med namnet User1.
Använd kommandot ktpass för att konfigurera en identitetsmappning för användarkontot genom att skriva:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set
Anmärkning
Du kan inte mappa flera tjänstinstanser till samma användarkonto.
Sammanfoga .keytab-filen med /Etc/Krb5.keytab fil på en värddator som inte kör Windows-operativsystemet.