Sdílet prostřednictvím

Úvod do adutilu – nástroj Active Directory

  • Článek

platí pro:SQL Server – Linux

Nástroj adutil je nástroj rozhraní příkazového řádku (CLI) pro konfiguraci a správu domén služby Windows Active Directory pro SQL Server v Linuxu a kontejnerech bez přepínání mezi počítači s Windows a Linuxem pro správu služby Active Directory. Ujistěte se, že jste stáhli adutil na hostitele, který je již připojený k doméně služby Active Directory.

Podpora adutil je omezená pouze pro případy použití SQL Serveru.

K povolení ověřování Active Directory pro SQL Server v Linuxu nebo kontejnerech nemusíte používat adutil. Můžete také použít nástroje, jako je ktpass, jak je vysvětleno v Kurzu: Použití ověřování Active Directory s SQL Serverem v Linuxu.

Nástroj adutil je navržen jako řada příkazů a dílčích příkazů s dalšími příznaky, které zadáte jako další vstup. Každý příkaz nejvyšší úrovně představuje kategorii funkcí správy. V rámci této kategorie je každý podpříkaz operace. Tento článek vás naučí, jak si stáhnout a začít s adutil.

Konfigurace adutilu pro PROTOKOL LDAP přes protokol SSL (Secure Sockets Layer)

Místo protokolu LDAP (Lightweight Directory Access Protocol) byste měli použít protokol LDAPS (Lightweight Directory Access Protocol over SSL). Pokud chcete získat další informace o protokolu Lightweight Directory Access Protocol (LDAP), přečtěte si .

Můžete nastavit možnost useLdaps na true v konfiguračním souboru adutil.json, který se nachází na: /var/opt/mssql/.adutil/adutil.json, pokud běží pod uživatelem mssql. Tento ukázkový kód JSON ukazuje, jak nakonfigurovat nastavení:

{
    "useLdaps": "true"
}

Ve výchozím nastavení je nastavení useLDAPS nastaveno na false. Při konfiguraci tohoto nastavení a použití mssql-conf k vytvoření keytab (tabulka klíčů) se ujistěte, že spustíte mssql-conf jako uživatel mssql, což můžete udělat spuštěním následujícího příkazu:

sudo su mssql

Pokud chcete nastavit keytab pomocí mssql-conf, přečtěte si téma Vytvoření souboru keytab služby SQL Serveru pomocímssql-conf .

Instalace nástroje adutil

Pokud během instalace nepřijmete licenční smlouvu s koncovým uživatelem (EULA) při prvním spuštění příkazu adutil, musíte ji spustit s příznakem --accept-eula (pro všechny distribuce).

  1. Stáhněte si konfigurační soubor úložiště Microsoft Red Hat.

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Pokud jste měli nainstalovanou předchozí verzi Preview adutil, pomocí následujícího příkazu odeberte všechny starší adutil balíčky.

    sudo yum remove adutil-preview

  3. Spuštěním následujících příkazů nainstalujte adutil. ACCEPT_EULA=Y přijímá smlouvu EULA pro adutil. EULA je umístěna na cestě /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Použití nástroje adutil ke správě služby Windows Active Directory

Ujistěte se, že jste stáhli adutil na hostitele, který je již připojený k doméně služby Active Directory. Musíte také získat nebo obnovit TGT protokolu Kerberos (lístek pro udělování lístků), a to pomocí příkazu kinit a privilegovaného účtu domény. Účet, který používáte, musí mít oprávnění k vytváření účtů a hlavních názvů služeb (SPN) v doméně.

Tady je několik příkladů akcí, které můžete provádět pomocí adutil. Pokud chcete zobrazit seznam příkazů nejvyšší úrovně, zadejte adutil --help. Tento příkaz ukazuje příkazy nejvyšší úrovně, které můžete použít ke správě a interakci se službou Active Directory.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Pokud chcete vyhledat pomoc s další úrovní příkazů, můžete spustit následující možnost nápovědy:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Vzorky

Každý příkaz je zdokumentovaný, abyste mohli začít hned. Tady jsou některé typické aktivity, pro které se adutil používá při konfiguraci nebo správě ověřování Active Directory pro SQL Server na Linuxu a v kontejnerech:

  • Vytvořte účet ve službě Active Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Vytvořte SPN přidružené k účtu nebo službě:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Vytváření klíčových tabulek pomocí adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Opatrnost

    Vaše heslo by mělo postupovat podle výchozích zásad hesel SQL Serveru . Ve výchozím nastavení musí heslo obsahovat alespoň osm znaků a musí obsahovat znaky ze tří z následujících čtyř sad: velká písmena, malá písmena, číslice se základem 10 a symboly. Hesla můžou mít délku až 128 znaků. Používejte hesla, která jsou co nejdéle a složitá.

Pomocí příkazu man adutilmůžete odkazovat na referenční stránku adutil .

Související obsah