ktpass

Active Directory Etki Alanı Hizmetleri'nde (AD DS) konak veya hizmet için sunucu asıl adını yapılandırarak hizmetin paylaşılan gizli dizi anahtarını içeren bir .keytab dosyası oluşturur. .keytab dosyası, Kerberos kimlik doğrulama protokolünün Massachusetts Institute of Technology (MIT) uygulamasını temel alır. ktpass komut satırı aracı, Kerberos kimlik doğrulamasını destekleyen Windows dışı hizmetlerin Kerberos Anahtar Dağıtım Merkezi (KDC) hizmeti tarafından sağlanan birlikte çalışabilirlik özelliklerini kullanmasına olanak tanır.

Syntax

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Parameters

Parameter Description
/dışarıya <filename> Oluşturulacak Kerberos sürüm 5 .keytab dosyasının adını belirtir. Not: Bu, Windows işletim sistemini çalıştırmayan bir bilgisayara aktardığınız ve ardından mevcut .keytab dosyanız /Etc/Krb5.keytab ile değiştirdiğiniz veya birleştirdiğiniz .keytab dosyasıdır.
/princ <principalname> konak/computer.contoso.com@CONTOSO.COMbiçimindeki asıl adı belirtir. Uyarı: Bu parametre büyük/küçük harfe duyarlıdır.
/haritakullanıcı <useraccount> princ parametresi tarafından belirtilen Kerberos sorumlusunun adını, belirtilen etki alanı hesabıyla eşleştirir.
/mapop {add|set} Eşleme özniteliğinin nasıl ayarlandığını belirtir.
  • Ekle - Belirtilen yerel kullanıcı adının değerini ekler. Varsayılan değer budur.
  • Set - Belirtilen yerel kullanıcı adı için yalnızca Veri Şifreleme Standardı (DES) şifrelemesi değerini ayarlar.
{-|+}desonly Yalnızca DES şifrelemesi varsayılan olarak ayarlanır.
  • + Yalnızca DES şifrelemesi için bir hesap ayarlar.
  • - Yalnızca DES şifrelemesi için bir hesapta Yayınlar kısıtlaması. Önemli: Windows varsayılan olarak DES'i desteklemez.
/içinde <filename> Windows işletim sistemini çalıştırmayan bir konak bilgisayardan okunacak .keytab dosyasını belirtir.
/geçmek {password|*|{-|+}rndpass} princ parametresi tarafından belirtilen asıl kullanıcı adı için bir parola belirtir. Parola isteminde * kullanın.
/minpass Rastgele parolanın en düşük uzunluğunu 15 karakter olarak ayarlar.
/maxpass Rastgele parolanın uzunluk üst sınırını 256 karakter olarak ayarlar.
/Şifreleme {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Tuş sekmesi dosyasında oluşturulan anahtarları belirtir:
  • DES-CBC-CRC - Uyumluluk için kullanılır.
  • DES-CBC-MD5 - MIT uygulamasına daha sıkı yapışır ve uyumluluk için kullanılır.
  • RC4-HMAC-NT - 128 bit şifreleme kullanır.
  • AES256-SHA1 - AES256-CTS-HMAC-SHA1-96 şifrelemesini kullanır.
  • AES128-SHA1 - AES128-CTS-HMAC-SHA1-96 şifrelemesini kullanır.
  • Tümü - Desteklenen tüm şifreleme türlerinin kullanılabileceğini belirtir.

Not: Varsayılan ayarlar eski MIT sürümlerini temel aldığından, parametreyi her zaman kullanmanız /crypto gerekir.

/itercount AES şifrelemesi için kullanılan yineleme sayısını belirtir. Varsayılan, AES olmayan şifreleme için itercount'u yok sayar ve AES şifrelemesini 4.096 olarak ayarlar.
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} Asıl türü belirtir.
  • KRB5_NT_PRINCIPAL - Genel müdür türü (önerilen).
  • KRB5_NT_SRV_INST - Kullanıcı hizmeti örneği
  • KRB5_NT_SRV_HST - Konak hizmeti örneği
/kvno <keyversionnum> Anahtar sürüm numarasını belirtir. Varsayılan değer 1'dir.
/cevap {-|+} Arka plan yanıt modunu ayarlar:
  • - Parola sıfırlama istemlerini otomatik olarak HAYIR ile yanıtlar.
  • + Parola sıfırlama istemlerini otomatik olarak EVET ile yanıtlar.
/target Kullanılacak etki alanı denetleyicisini ayarlar. Varsayılan değer, asıl ada göre etki alanı denetleyicisinin algılanmasıdır. Etki alanı denetleyicisi adı çözümlenmezse, bir iletişim kutusu geçerli bir etki alanı denetleyicisi ister.
/rawsalt anahtarı oluştururken ktpass'ı hamsalt algoritmasını kullanmaya zorlar. Bu parametre isteğe bağlıdır.
{-|+}dumpsalt Bu parametrenin çıktısı, anahtarı oluşturmak için kullanılan MIT tuz algoritmasını gösterir.
{-|+}setupn Hizmet asıl adına (SPN) ek olarak kullanıcı asıl adını (UPN) ayarlar. Varsayılan ayar her ikisini de .keytab dosyasında ayarlamaktır.
{-|+}setpass <password> Sağlandığında kullanıcının parolasını ayarlar. rndpass kullanılırsa, bunun yerine rastgele bir parola oluşturulur.
/? Bu komut için Yardım görüntüler.

Remarks

  • Windows işletim sistemini çalıştırmamış sistemlerde çalışan hizmetler AD DS'deki hizmet örneği hesaplarıyla yapılandırılabilir. Bu, tüm Kerberos istemcilerinin Windows KDC'lerini kullanarak Windows işletim sistemini çalıştırmayan hizmetlerde kimlik doğrulaması yapmasına olanak tanır.

  • /princ parametresi ktpass tarafından değerlendirilmez ve sağlandığı şekilde kullanılır. Keytab dosyası oluşturulurken parametrenin userPrincipalName öznitelik değerinin tam büyük/küçük harfleriyle eşleşip eşleşmediğini görmek için bir denetim yoktur. Bu Anahtar sekmesi dosyasını kullanan büyük/küçük harfe duyarlı Kerberos dağıtımları, tam bir büyük/küçük harf eşleşmesi olmadığında sorunlarla karşılaşabilir ve hatta ön kimlik doğrulaması sırasında başarısız olabilir. LDifDE dışarı aktarma dosyasından doğru userPrincipalName öznitelik değerini denetlemek ve almak için. For example:

    ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
    

Examples

Windows işletim sistemini çalıştırmamış bir konak bilgisayar için Kerberos .keytab dosyası oluşturmak için, sorumluyu hesaba eşlemeniz ve ana bilgisayar asıl parolasını ayarlamanız gerekir.

  1. Active Directory Kullanıcı ve bilgisayarlar ek bileşenini kullanarak Windows işletim sistemini çalıştırmayan bir bilgisayarda bir hizmet için kullanıcı hesabı oluşturun. Örneğin, Kullanıcı1 adlı bir hesap oluşturun.

  2. Kullanıcı hesabı için bir kimlik eşlemesi ayarlamak üzere ktpass komutunu kullanarak şunu yazın:

    ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set
    

    Note

    Birden çok hizmet örneğini aynı kullanıcı hesabıyla eşleyemezsiniz.

  3. .keytab dosyasını, Windows işletim sistemini çalıştırmayan bir ana bilgisayardaki /Etc/Krb5.keytab dosyasıyla birleştirin.