Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Active Directory Etki Alanı Hizmetleri'nde (AD DS) konak veya hizmet için sunucu asıl adını yapılandırarak hizmetin paylaşılan gizli dizi anahtarını içeren bir .keytab dosyası oluşturur. .keytab dosyası, Kerberos kimlik doğrulama protokolünün Massachusetts Institute of Technology (MIT) uygulamasını temel alır. ktpass komut satırı aracı, Kerberos kimlik doğrulamasını destekleyen Windows dışı hizmetlerin Kerberos Anahtar Dağıtım Merkezi (KDC) hizmeti tarafından sağlanan birlikte çalışabilirlik özelliklerini kullanmasına olanak tanır.
Sözdizimi
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parametreler
| Parametre | Açıklama |
|---|---|
/dışarıya <filename> |
Oluşturulacak Kerberos sürüm 5 .keytab dosyasının adını belirtir. Not: Bu, Windows işletim sistemini çalıştırmamış bir bilgisayara aktardığınız .keytab dosyasıdır ve ardından /Etc/Krb5.keytab var olan .keytab dosyanızı değiştirin veya birleştirin. |
/princ <principalname> |
konak/computer.contoso.com@CONTOSO.COMbiçimindeki asıl adı belirtir. Uyarısı: Bu parametre büyük/küçük harfe duyarlıdır. |
/haritakullanıcı <useraccount> |
princ parametresi tarafından belirtilen Kerberos sorumlusunun adını belirtilen etki alanı hesabıyla eşler. |
/mapop {add|set} |
Eşleme özniteliğinin nasıl ayarlandığını belirtir.
|
{-|+}desonly |
Yalnızca DES şifrelemesi varsayılan olarak ayarlanır.
|
/içinde <filename> |
Windows işletim sistemini çalıştırmayan bir konak bilgisayardan okunacak .keytab dosyasını belirtir. |
/geçmek {password|*|{-|+}rndpass} |
princ parametresi tarafından belirtilen asıl kullanıcı adı için bir parola belirtir. Parola isteminde * kullanın. |
| /dkpass | Rastgele parolanın en düşük uzunluğunu 15 karakter olarak ayarlar. |
| /maxpass | Rastgele parolanın uzunluk üst sınırını 256 karakter olarak ayarlar. |
/Şifreleme {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Tuş sekmesi dosyasında oluşturulan anahtarları belirtir:
Not: Varsayılan ayarlar eski MIT sürümlerini temel alındığından, her zaman |
| /itercount | AES şifrelemesi için kullanılan yineleme sayısını belirtir. Varsayılan değer, AES olmayan şifreleme için itercount yoksayar ve AES şifrelemesini 4.096 olarak ayarlar. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Asıl türü belirtir.
|
/kvno <keyversionnum> |
Anahtar sürüm numarasını belirtir. Varsayılan değer 1'dir. |
/cevap {-|+} |
Arka plan yanıt modunu ayarlar:
|
| /hedef | Kullanılacak etki alanı denetleyicisini ayarlar. Varsayılan değer, asıl ada göre etki alanı denetleyicisinin algılanmasıdır. Etki alanı denetleyicisi adı çözümlenmezse, bir iletişim kutusu geçerli bir etki alanı denetleyicisi ister. |
| /çiğ tuz | anahtarı oluştururken ktpass'ı hamsalt algoritmasını kullanmaya zorlar. Bu parametre isteğe bağlıdır. |
{-|+}dumpsalt |
Bu parametrenin çıktısı, anahtarı oluşturmak için kullanılan MIT tuz algoritmasını gösterir. |
{-|+}setupn |
Hizmet asıl adına (SPN) ek olarak kullanıcı asıl adını (UPN) ayarlar. Varsayılan ayar her ikisini de .keytab dosyasında ayarlamaktır. |
{-|+}setpass <password> |
Sağlandığında kullanıcının parolasını ayarlar. rndpass kullanılırsa, bunun yerine rastgele bir parola oluşturulur. |
| /? | Bu komut için Yardım görüntüler. |
Açıklamalar
Windows işletim sistemini çalıştırmamış sistemlerde çalışan hizmetler AD DS'deki hizmet örneği hesaplarıyla yapılandırılabilir. Bu, tüm Kerberos istemcilerinin Windows KDC'lerini kullanarak Windows işletim sistemini çalıştırmayan hizmetlerde kimlik doğrulaması yapmasına olanak tanır.
/princ parametresi ktpass tarafından değerlendirilmez ve sağlandığı gibi kullanılır. Keytab dosyası oluşturulurken parametrenin userPrincipalName öznitelik değeriyle tam olarak eşleşip eşleşmediğini görmek için bir denetim yoktur. Bu Anahtar sekmesi dosyasını kullanan büyük/küçük harfe duyarlı Kerberos dağıtımları, tam bir büyük/küçük harf eşleşmesi olmadığında sorunlarla karşılaşabilir ve hatta ön kimlik doğrulaması sırasında başarısız olabilir. LDifDE dışarı aktarma dosyasından doğru userPrincipalName öznitelik değerini denetlemek ve almak için. Örneğin:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Örnekler
Windows işletim sistemini çalıştırmamış bir konak bilgisayar için Kerberos .keytab dosyası oluşturmak için, sorumluyu hesaba eşlemeniz ve ana bilgisayar asıl parolasını ayarlamanız gerekir.
Active Directory Kullanıcı ve bilgisayarlar ek bileşenini kullanarak Windows işletim sistemini çalıştırmayan bir bilgisayarda bir hizmet için kullanıcı hesabı oluşturun. Örneğin, kullanıcı1 adlı bir hesap oluşturun.
Şunu yazarak kullanıcı hesabı için kimlik eşlemesi ayarlamak için ktpass komutunu kullanın:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setUyarı
Birden çok hizmet örneğini aynı kullanıcı hesabıyla eşleyemezsiniz.
Windows işletim sistemini çalıştırmamış bir konak bilgisayarda .keytab dosyasını /Etc/Krb5.keytab dosyasıyla birleştirin.