adutil - Active Directory yardımcı programına giriş

Uygulama alanı:SQL Server üzerinde Linux

adutil aracı, Linux üzerinde SQL Server ve kapsayıcılar için Windows Active Directory etki alanlarını yapılandırmaya ve yönetmeye yönelik bir komut satırı arabirimi (CLI) yardımcı programıdır. Active Directory yönetmek için Windows ve Linux makineleri arasında geçiş yapma gereksinimini ortadan kaldırır.

Uyarı

adutil desteği yalnızca SQL Server kullanım örnekleriyle sınırlıdır. Tutorial: Linux üzerinde SQL Server ile Active Directory kimlik doğrulamasını kullanma bölümünde açıklandığı gibi Active Directory kimlik doğrulamasını etkinleştirmek için ktpass gibi diğer yardımcı programları da kullanabilirsiniz.

Başlamadan önce, adutil zaten bir Active Directory etki alanına katılmış bir konağa indirdiğinizden emin olun.

Araç adutil , daha fazla giriş olarak belirttiğiniz ek bayraklarla birlikte bir dizi komut ve alt komut olarak tasarlanmıştır. Her üst düzey komut, bir yönetim işlevleri kategorisini temsil eder. Bu kategoride her alt komut bir işlemdir. Bu makale size adutil uygulamasını nasıl indireceğinizi ve kullanmaya başlayacağınızı gösteriyor.

Güvenli Yuva Katmanı (SSL) üzerinden LDAP için yapılandırma adutil

Basit Dizin Erişim Protokolü (LDAP) yerine SSL (LDAPS) üzerinden Basit Dizin Erişim Protokolü kullanmalısınız. LDAP hakkında daha fazla bilgi için bkz . Basit Dizin Erişim Protokolü (LDAP).

useLdaps seçeneğini true olarak adutil.json yapılandırma dosyasında ayarlayabilirsiniz. adutil komutunu mssql kullanıcısı altında çalıştırdığınızda, yapılandırma dosyası /var/opt/mssql/.adutil/adutil.json konumunda bulunur. Bu JSON kod örneği ayarın nasıl yapılandırılır gösterir:

{
    "useLdaps": "true"
}

Varsayılan olarak, useLdapsfalseolarak kabul edilir. Bu ayarı yapılandırdığınızda ve keytab (anahtar tablosu) oluşturmak için mssql-conf kullandığınızda, mssql-conf komutunu mssql kullanıcısı olarak çalıştırdığınızdan emin olun. Aşağıdaki komutu mssql kullanıcısına geçmek için çalıştırın:

sudo su mssql

mssql-conf kullanarak anahtar sekmesini ayarlamak için bkz. mssql-conf kullanarak SQL Server hizmet anahtar sekmesi dosyasını oluşturma.

adutil'ı yükleme

Yükleme sırasında son kullanıcı lisans sözleşmesini (EULA) kabul etmediyseniz, komutu ilk kez çalıştırdığınızda adutil bayrağıyla --accept-eula çalıştırmanız gerekir (tüm dağıtımlar için).

  1. Microsoft Red Hat deposu yapılandırma dosyasını indirin.

    RHEL 10

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repo

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. uygulamasının adutilönceki bir önizleme sürümünü yüklediyseniz, aşağıdaki komutu kullanarak eski adutil paketleri kaldırın.

    sudo yum remove adutil-preview

  3. yüklemek için adutil aşağıdaki komutu çalıştırın. ACCEPT_EULA=Y için adutilEULA'yı kabul eder. EULA /usr/share/adutil/ adresinde bulunmaktadır.

    sudo ACCEPT_EULA=Y yum install -y adutil

Windows Active Directory yönetmek için adutil kullanma

adutil kullanmak için, kinit komutunu ve ayrıcalıklı bir etki alanı hesabını kullanarak bir Kerberos TGT'yi (bilet verme bileti) almanız veya yenilemeniz gerekir. Etki alanında hesap oluşturma ve Hizmet Asıl Adları (SPN) oluşturma iznine sahip bir hesap kullanmanız gerekir.

Aşağıdaki örneklerde kullanarak adutilgerçekleştirebileceğiniz bazı tipik etkinlikler gösterilmektedir. Üst düzey komutların listesini görmek için adutil --helpyazın.

adutil --help

Aşağıdaki çıkışı görürsünüz:

adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Alt düzey komutlarla ilgili yardım almak için aşağıdaki örnekleri kullanın:

  • spn komut:

    adutil spn --help

  • spn search komut:

    adutil spn search --help

Örnekler

Her komut belgelenmiştir, böylece hemen kullanmaya başlayabilirsiniz. adutil Linux üzerinde SQL Server ve kapsayıcılar için Active Directory kimlik doğrulamasını yapılandırırken veya yönetirken kullanılan tipik etkinliklerden bazıları şunlardır:

  • Active Directory'da hesap oluşturma:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Bir hesap veya hizmetle ilişkilendirilmiş SPN'ler oluşturun:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Kullanarak adutil tuş sekmeleri oluşturun:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Dikkat

    Parolanız varsayılan SQL Server password ilkesini izlemelidir. Varsayılan olarak, parola en az sekiz karakter uzunluğunda olmalı ve şu dört kümeden üçünün karakterlerini içermelidir: büyük harfler, küçük harfler, 10 tabanındaki basamaklar ve simgeler. Parolalar en çok 128 karakter uzunluğunda olabilir. Mümkün olduğunca uzun ve karmaşık parolalar kullanın.

Daha fazla bilgi için adutil kılavuz sayfasına man adutil kullanarak bakın.

İlgili içerik

  • Last updated on