Aracılığıyla paylaş

adutil'e giriş - Active Directory yardımcı programı

Şunlar için geçerlidir:SQL Server - Linux

adutil aracı, Active Directory'yi yönetmek için Windows ve Linux makineleri arasında geçiş yapmadan Linux ve kapsayıcılarda SQL Server için Windows Active Directory etki alanlarını yapılandırmaya ve yönetmeye yönelik bir komut satırı arabirimi (CLI) yardımcı programıdır. adutil zaten bir Active Directory etki alanına katılmış bir ana bilgisayara indirdiğinizden emin olun.

adutil desteği yalnızca SQL Server kullanım örnekleri için sınırlıdır.

Linux veya kapsayıcılarda SQL Server için Active Directory kimlik doğrulamasını etkinleştirmek için adutil kullanmanız gerekmez. ktpassgibi yardımcı programları Öğretici: Linuxüzerinde SQL Server ile Active Directory kimlik doğrulamayı kullanma bölümünde açıklandığı gibi de kullanabilirsiniz.

adutil aracı, ek giriş olarak belirttiğiniz ek seçeneklerle bir dizi komut ve alt komut şeklinde tasarlanmıştır. Her üst düzey komut, bir yönetim işlevleri kategorisini temsil eder. Bu kategoride her alt komut bir işlemdir. Bu makalede, adutiluygulamasını nasıl indirebileceğiniz ve kullanmaya nasıl başlayabileceğiniz gösterilmektedir.

Güvenli Yuva Katmanı (SSL) üzerinden LDAP için adutil yapılandırma

Basit Dizin Erişim Protokolü (LDAP) yerine SSL (LDAPS) üzerinden Basit Dizin Erişim Protokolü kullanmalısınız. LDAP hakkında daha fazla bilgi edinmek istiyorsanız bkz. Basit Dizin Erişim Protokolü (LDAP).

useLdaps seçeneğini, mssql kullanıcı altında çalıştırıldığında /var/opt/mssql/.adutil/adutil.json konumundaki adutil.json yapılandırma dosyasında true olarak ayarlayabilirsiniz. Bu JSON kod örneği ayarın nasıl yapılandırılır gösterir:

{
    "useLdaps": "true"
}

Varsayılan olarak, useLDAPS ayarı falseolarak ayarlanır. Bu ayarı yapılandırırken ve mssql-conf kullanarak anahtar sekmesini (anahtar tablosu) oluştururken, kullanıcı mssqlolarak mssql-conf çalıştırdığınızdan emin olun. Bunu aşağıdaki komutu çalıştırarak yapabilirsiniz:

sudo su mssql

mssql-confkullanarak anahtar sekmesini ayarlamak için, mssql-confkullanarak SQL Server hizmet anahtar sekmesi dosyasını oluşturma başlığına bakın.

Adutil'i yükleme

Yükleme sırasında son kullanıcı lisans sözleşmesini (EULA) kabul etmediyseniz, adutil komutunu ilk kez çalıştırdığınızda, --accept-eula bayrağıyla çalıştırmanız gerekir (tüm dağıtımlar için).

  1. Microsoft Red Hat deposu yapılandırma dosyasını indirin.

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. adutil'in önceki bir önizleme sürümü yüklüyse, aşağıdaki komutu kullanarak eski adutil paketlerini kaldırın.

    sudo yum remove adutil-preview

  3. adutilyüklemek için aşağıdaki komutları çalıştırın. ACCEPT_EULA=Y adutiliçin EULA'yı kabul eder. EULA, /usr/share/adutil/yoluna yerleştirilir.

    sudo ACCEPT_EULA=Y yum install -y adutil

Windows Active Directory'yi yönetmek için adutil kullanma

adutil'i, zaten bir Active Directory etki alanına katılmış bir konağa indirdiğinizden emin olun. Ayrıca, kinit komutunu ve ayrıcalıklı bir etki alanı hesabını kullanarak Kerberos TGT'yi (anahtar verme bileti) edinmeniz veya yenilemeniz gerekir. Etki alanında hesap oluşturma ve Hizmet Asıl Adları (SPN) oluşturma iznine sahip bir hesap kullanmanız gerekir.

aşağıda adutilkullanarak gerçekleştirebileceğiniz eylemlere bazı örnekler verilmiştir. Üst düzey komutların listesini görmek için adutil --helpyazın. Bu komut, Active Directory'yi yönetmek ve active directory ile etkileşim kurmak için kullanabileceğiniz en üst düzey komutları gösterir.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Sonraki komut düzeyiyle ilgili yardım almak için aşağıdaki yardım seçeneğini çalıştırabilirsiniz:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Örnekler

Her komut belgelenmiştir, böylece hemen kullanmaya başlayabilirsiniz. Active Directory kimlik doğrulamasını Linux ve kapsayıcılarda SQL Server için yapılandırırken veya yönetirken adutil kullanılan tipik etkinliklerden bazıları şunlardır:

  • Active Directory'de hesap oluşturma:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Bir hesap veya hizmetle ilişkilendirilmiş SPN'ler oluşturun:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • adutilkullanarak tuş sekmeleri oluşturma:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Dikkat

    Parolanız,SQL Server varsayılan parola ilkesine uygun olmalıdır. Varsayılan olarak, parola en az sekiz karakter uzunluğunda olmalı ve şu dört kümeden üçünün karakterlerini içermelidir: büyük harfler, küçük harfler, 10 tabanındaki basamaklar ve simgeler. Parolalar en çok 128 karakter uzunluğunda olabilir. Mümkün olduğunca uzun ve karmaşık parolalar kullanın.

adutil başvuru kılavuzu sayfasına man adutilkomutunu kullanarak başvurabilirsiniz.

İlgili içerik