adutil'e giriş - Active Directory yardımcı programı

Uygulama alanı:SQL Server üzerinde Linux

adutil aracı, SQL Server on Linux ve kapsayıcılar için Windows Active Directory etki alanlarını yapılandırmaya ve yönetmeye yönelik bir komut satırı arabirimi (CLI) yardımcı programıdır. Active Directory yönetmek için Windows ve Linux makineleri arasında geçiş yapma gereksinimini ortadan kaldırır.

Uyarı

adutil desteği yalnızca SQL Server kullanım örnekleriyle sınırlıdır. Tutorial: SQL Server on Linux ile Active Directory kimlik doğrulamasını kullanma bölümünde açıklandığı gibi Active Directory kimlik doğrulamasını etkinleştirmek için ktpass gibi diğer yardımcı programları da kullanabilirsiniz.

Başlamadan önce, adutil Active Directory etki alanına zaten katılmış bir konağa indirdiğinizden emin olun.

adutil aracı, ek giriş olarak belirttiğiniz ek seçeneklerle bir dizi komut ve alt komut şeklinde tasarlanmıştır. Her üst düzey komut, bir yönetim işlevleri kategorisini temsil eder. Bu kategoride her alt komut bir işlemdir. Bu makalede adutil'i indirme ve kullanmaya başlama işlemi gösterilmektedir.

Güvenli Yuva Katmanı (SSL) üzerinden LDAP için adutil yapılandırma

Basit Dizin Erişim Protokolü (LDAP) yerine SSL (LDAPS) üzerinden Basit Dizin Erişim Protokolü kullanmalısınız. LDAP hakkında daha fazla bilgi için bkz . Basit Dizin Erişim Protokolü (LDAP).

useLdaps seçeneğini true olarak adutil.json yapılandırma dosyasında ayarlayabilirsiniz. Adutil'imssql kullanıcı altında çalıştırdığınızda, yapılandırma dosyası konumunda /var/opt/mssql/.adutil/adutil.jsonbulunur. Bu JSON kod örneği ayarın nasıl yapılandırılır gösterir:

{
    "useLdaps": "true"
}

Varsayılan olarak, useLdapsfalseolarak kabul edilir. Bu ayarı yapılandırıp anahtar sekmesini (anahtar tablosu) oluşturmak için mssql-conf kullandığınızda, kullanıcı olarak mssql-conf komutunu çalıştırdığınızdan mssql emin olun. Aşağıdaki komutu mssql kullanıcısına geçmek için çalıştırın:

sudo su mssql

mssql-conf kullanarak anahtar sekmesini ayarlamak için bkz. mssql-conf kullanarak SQL Server hizmet anahtar sekmesi dosyasını oluşturma.

Adutil'i yükleme

Yükleme sırasında son kullanıcı lisans sözleşmesini (EULA) kabul etmediyseniz , adutil komutunu ilk kez çalıştırdığınızda bayrağıyla --accept-eula çalıştırmanız gerekir (tüm dağıtımlar için).

  1. Microsoft Red Hat deposu yapılandırma dosyasını indirin.

    RHEL 10

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repo

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Adutil'in önceki bir önizleme sürümünü yüklediyseniz, aşağıdaki komutu kullanarak eski adutil paketlerini kaldırın.

    sudo yum remove adutil-preview

  3. adutilyüklemek için aşağıdaki komutu çalıştırın. ACCEPT_EULA=Y adutiliçin EULA'yı kabul eder. EULA /usr/share/adutil/ adresinde bulunmaktadır.

    sudo ACCEPT_EULA=Y yum install -y adutil

Windows Active Directory yönetmek için adutil kullanma

adutil'i kullanmak için kinit komutunu ve ayrıcalıklı bir etki alanı hesabını kullanarak Kerberos TGT'yi (bilet verme bileti) almanız veya yenilemeniz gerekir. Etki alanında hesap oluşturma ve Hizmet Asıl Adları (SPN) oluşturma iznine sahip bir hesap kullanmanız gerekir.

Aşağıdaki örneklerde adutil kullanarak gerçekleştirebileceğiniz bazı tipik etkinlikler gösterilmektedir. Üst düzey komutların listesini görmek için adutil --helpyazın.

adutil --help

Aşağıdaki çıkışı görürsünüz:

adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Alt düzey komutlarla ilgili yardım almak için aşağıdaki örnekleri kullanın:

  • spn komut:

    adutil spn --help

  • spn search komut:

    adutil spn search --help

Örnekler

Her komut belgelenmiştir, böylece hemen kullanmaya başlayabilirsiniz. adutil SQL Server on Linux ve kapsayıcılar için Active Directory kimlik doğrulamasını yapılandırırken veya yönetirken kullanılan tipik etkinliklerden bazıları şunlardır:

  • Active Directory'da hesap oluşturma:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Bir hesap veya hizmetle ilişkilendirilmiş SPN'ler oluşturun:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • adutilkullanarak tuş sekmeleri oluşturma:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Dikkat

    Parolanız varsayılan SQL Server password ilkesini izlemelidir. Varsayılan olarak, parola en az sekiz karakter uzunluğunda olmalı ve şu dört kümeden üçünün karakterlerini içermelidir: büyük harfler, küçük harfler, 10 tabanındaki basamaklar ve simgeler. Parolalar en çok 128 karakter uzunluğunda olabilir. Mümkün olduğunca uzun ve karmaşık parolalar kullanın.

Daha fazla bilgi için, adutil başvuru kılavuzu sayfasına man adutil kullanarak bakın.

İlgili içerik

  • Last updated on