Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Active Directory Etki Alanı Hizmetleri'nde (AD DS) konak veya hizmet için sunucu asıl adını yapılandırarak hizmetin paylaşılan gizli dizi anahtarını içeren bir .keytab dosyası oluşturur. .keytab dosyası, Kerberos kimlik doğrulama protokolünün Massachusetts Institute of Technology (MIT) uygulamasını temel alır. ktpass komut satırı aracı, Kerberos kimlik doğrulamasını destekleyen Windows dışı hizmetlerin Kerberos Anahtar Dağıtım Merkezi (KDC) hizmeti tarafından sağlanan birlikte çalışabilirlik özelliklerini kullanmasına olanak tanır.
Syntax
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameters
| Parameter | Description |
|---|---|
/dışarıya <filename> |
Oluşturulacak Kerberos sürüm 5 .keytab dosyasının adını belirtir. Not: Bu, Windows işletim sistemini çalıştırmayan bir bilgisayara aktardığınız ve ardından mevcut .keytab dosyanız /Etc/Krb5.keytab ile değiştirdiğiniz veya birleştirdiğiniz .keytab dosyasıdır. |
/princ <principalname> |
konak/computer.contoso.com@CONTOSO.COMbiçimindeki asıl adı belirtir. Uyarı: Bu parametre büyük/küçük harfe duyarlıdır. |
/haritakullanıcı <useraccount> |
princ parametresi tarafından belirtilen Kerberos sorumlusunun adını, belirtilen etki alanı hesabıyla eşleştirir. |
/mapop {add|set} |
Eşleme özniteliğinin nasıl ayarlandığını belirtir.
|
{-|+}desonly |
Yalnızca DES şifrelemesi varsayılan olarak ayarlanır.
|
/içinde <filename> |
Windows işletim sistemini çalıştırmayan bir konak bilgisayardan okunacak .keytab dosyasını belirtir. |
/geçmek {password|*|{-|+}rndpass} |
princ parametresi tarafından belirtilen asıl kullanıcı adı için bir parola belirtir. Parola isteminde * kullanın. |
| /minpass | Rastgele parolanın en düşük uzunluğunu 15 karakter olarak ayarlar. |
| /maxpass | Rastgele parolanın uzunluk üst sınırını 256 karakter olarak ayarlar. |
/Şifreleme {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Tuş sekmesi dosyasında oluşturulan anahtarları belirtir:
Not: Varsayılan ayarlar eski MIT sürümlerini temel aldığından, parametreyi her zaman kullanmanız |
| /itercount | AES şifrelemesi için kullanılan yineleme sayısını belirtir. Varsayılan, AES olmayan şifreleme için itercount'u yok sayar ve AES şifrelemesini 4.096 olarak ayarlar. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Asıl türü belirtir.
|
/kvno <keyversionnum> |
Anahtar sürüm numarasını belirtir. Varsayılan değer 1'dir. |
/cevap {-|+} |
Arka plan yanıt modunu ayarlar:
|
| /target | Kullanılacak etki alanı denetleyicisini ayarlar. Varsayılan değer, asıl ada göre etki alanı denetleyicisinin algılanmasıdır. Etki alanı denetleyicisi adı çözümlenmezse, bir iletişim kutusu geçerli bir etki alanı denetleyicisi ister. |
| /rawsalt | anahtarı oluştururken ktpass'ı hamsalt algoritmasını kullanmaya zorlar. Bu parametre isteğe bağlıdır. |
{-|+}dumpsalt |
Bu parametrenin çıktısı, anahtarı oluşturmak için kullanılan MIT tuz algoritmasını gösterir. |
{-|+}setupn |
Hizmet asıl adına (SPN) ek olarak kullanıcı asıl adını (UPN) ayarlar. Varsayılan ayar her ikisini de .keytab dosyasında ayarlamaktır. |
{-|+}setpass <password> |
Sağlandığında kullanıcının parolasını ayarlar. rndpass kullanılırsa, bunun yerine rastgele bir parola oluşturulur. |
| /? | Bu komut için Yardım görüntüler. |
Remarks
Windows işletim sistemini çalıştırmamış sistemlerde çalışan hizmetler AD DS'deki hizmet örneği hesaplarıyla yapılandırılabilir. Bu, tüm Kerberos istemcilerinin Windows KDC'lerini kullanarak Windows işletim sistemini çalıştırmayan hizmetlerde kimlik doğrulaması yapmasına olanak tanır.
/princ parametresi ktpass tarafından değerlendirilmez ve sağlandığı şekilde kullanılır. Keytab dosyası oluşturulurken parametrenin userPrincipalName öznitelik değerinin tam büyük/küçük harfleriyle eşleşip eşleşmediğini görmek için bir denetim yoktur. Bu Anahtar sekmesi dosyasını kullanan büyük/küçük harfe duyarlı Kerberos dağıtımları, tam bir büyük/küçük harf eşleşmesi olmadığında sorunlarla karşılaşabilir ve hatta ön kimlik doğrulaması sırasında başarısız olabilir. LDifDE dışarı aktarma dosyasından doğru userPrincipalName öznitelik değerini denetlemek ve almak için. For example:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Examples
Windows işletim sistemini çalıştırmamış bir konak bilgisayar için Kerberos .keytab dosyası oluşturmak için, sorumluyu hesaba eşlemeniz ve ana bilgisayar asıl parolasını ayarlamanız gerekir.
Active Directory Kullanıcı ve bilgisayarlar ek bileşenini kullanarak Windows işletim sistemini çalıştırmayan bir bilgisayarda bir hizmet için kullanıcı hesabı oluşturun. Örneğin, Kullanıcı1 adlı bir hesap oluşturun.
Kullanıcı hesabı için bir kimlik eşlemesi ayarlamak üzere ktpass komutunu kullanarak şunu yazın:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setNote
Birden çok hizmet örneğini aynı kullanıcı hesabıyla eşleyemezsiniz.
.keytab dosyasını, Windows işletim sistemini çalıştırmayan bir ana bilgisayardaki /Etc/Krb5.keytab dosyasıyla birleştirin.