Delen via

Inleiding tot adutil - Active Directory-hulpprogramma

  • Artikel

van toepassing op:SQL Server- - Linux

Het hulpprogramma adutil is een opdrachtregelinterfaceprogramma (CLI) voor het configureren en beheren van Windows Active Directory-domeinen voor SQL Server op Linux en containers, zonder tussen Windows- en Linux-computers te schakelen om Active Directory te beheren. Zorg ervoor dat u adutil downloadt naar een host die al is toegevoegd aan een Active Directory-domein.

Ondersteuning voor adutil- is alleen beperkt voor SQL Server-gebruiksvoorbeelden.

U hoeft adutil- niet te gebruiken om Active Directory-verificatie in te schakelen voor SQL Server op Linux of containers. U kunt ook hulpprogramma's zoals ktpassgebruiken, zoals wordt uitgelegd in zelfstudie: Active Directory-verificatie gebruiken met SQL Server op Linux.

Het hulpprogramma adutil is ontworpen als een reeks opdrachten en subopdrachten, met extra vlaggen die u opgeeft als verdere invoer. Elke opdracht op het hoogste niveau vertegenwoordigt een categorie beheerfuncties. Binnen die categorie is elke subopdracht een bewerking. In dit artikel leest u hoe u adutilkunt downloaden en aan de slag kunt gaan.

Adutil configureren voor LDAP via Secure Sockets Layer (SSL)

Gebruik Lightweight Directory Access Protocol via SSL (LDAPS) in plaats van Lightweight Directory Access Protocol (LDAP). Zie Ldap-(Lightweight Directory Access Protocol) voor meer informatie over LDAP.

U kunt de optie useLdaps instellen op true in het adutil.json configuratiebestand, dat zich bevindt op: /var/opt/mssql/.adutil/adutil.json wanneer deze wordt uitgevoerd onder de mssql gebruiker. In dit JSON-codevoorbeeld ziet u hoe u de instelling configureert:

{
    "useLdaps": "true"
}

De useLDAPS-instelling is standaard ingesteld op false. Wanneer u deze instelling configureert en mssql-conf gebruikt om de keytab (sleuteltabel) te maken, moet u ervoor zorgen dat u mssql-conf- uitvoert als de gebruiker mssql, wat u kunt doen door de volgende opdracht uit te voeren:

sudo su mssql

Gebruik mssql-confom de keytab in te stellen. Zie Een keytab-bestand maken voor de SQL Server-service met mssql-conf.

Adutil installeren

Als u de gebruiksrechtovereenkomst (EULA) niet accepteert tijdens de installatietijd, moet u de opdracht adutil voor het eerst uitvoeren met de vlag --accept-eula (voor alle distributies).

  1. Download het configuratiebestand voor de Microsoft Red Hat-opslagplaats.

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Als u een eerdere preview-versie van adutil hebt geïnstalleerd, verwijdert u oudere adutil-pakketten met behulp van de volgende opdracht.

    sudo yum remove adutil-preview

  3. Voer de volgende opdrachten uit om adutilte installeren. ACCEPT_EULA=Y accepteert de gebruiksrechtovereenkomst voor adutil. De GEBRUIKSRECHTOVEREENKOMST wordt op het pad /usr/share/adutil/geplaatst.

    sudo ACCEPT_EULA=Y yum install -y adutil

Adutil gebruiken om Windows Active Directory te beheren

Zorg ervoor dat u adutil downloadt naar een host die al is toegevoegd aan een Active Directory-domein. U moet ook de Kerberos TGT (ticket-granting ticket) verkrijgen of vernieuwen met behulp van de opdracht kinit en een geprivilegieerd domeinaccount. Het account dat u gebruikt, moet gemachtigd zijn om accounts en SPN's (Service Principal Names) voor het domein te maken.

Hier volgen enkele voorbeelden van acties die u kunt uitvoeren met behulp van adutil. Als u een lijst met opdrachten op het hoogste niveau wilt zien, typt u adutil --help. Met deze opdracht ziet u de opdrachten op het hoogste niveau die u kunt gebruiken om Active Directory te beheren en ermee te communiceren.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Als u hulp wilt zoeken bij het volgende niveau van opdrachten, kunt u de volgende Help-optie uitvoeren:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Monsters

Elke opdracht wordt gedocumenteerd, zodat u meteen aan de slag kunt. Hier volgen enkele van de typische activiteiten die adutil wordt gebruikt voor het configureren of beheren van Active Directory-verificatie voor SQL Server op Linux en containers:

  • Maak een account in Active Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • SPN's maken die zijn gekoppeld aan een account of service:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Maak keytabs met behulp van adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Voorzichtigheid

    Uw wachtwoord moet voldoen aan het standaardbeleid voor SQL Server wachtwoordbeleid. Standaard moet het wachtwoord ten minste acht tekens lang zijn en tekens bevatten uit drie van de volgende vier sets: hoofdletters, kleine letters, basis-10 cijfers en symbolen. Wachtwoorden mogen maximaal 128 tekens lang zijn. Gebruik wachtwoorden die zo lang en complex mogelijk zijn.

U kunt verwijzen naar de handmatige referentiepagina van adutil met behulp van de opdracht man adutil.

Verwante inhoud