Wprowadzenie do narzędzia adutil — narzędzie usługi Active Directory
Dotyczy:
programu SQL Server — Linux
Narzędzie adutil to narzędzie interfejsu wiersza polecenia służące do konfigurowania domen usługi Windows Active Directory dla programu SQL Server w systemie Linux i kontenerów oraz zarządzania nimi bez przełączania się między maszynami z systemem Windows i Linux w celu zarządzania usługą Active Directory. Upewnij się, że pobierasz adutil na hosta, który jest już przyłączony do domeny Active Directory.
Obsługa adutil jest ograniczona tylko w przypadku przypadków użycia programu SQL Server.
Nie musisz używać adutil, aby włączyć uwierzytelnianie usługi Active Directory dla programu SQL Server w systemie Linux lub kontenerach. Możesz również użyć narzędzi takich jak ktpass, jak wyjaśniono w Samouczek: używanie uwierzytelniania usługi Active Directory z programem SQL Server w systemie Linux.
Narzędzie adutil jest zaprojektowane jako seria poleceń głównych i podrzędnych z dodatkowymi flagami, które określasz jako dodatkowe dane wejściowe. Każde polecenie najwyższego poziomu reprezentuje kategorię funkcji administracyjnych. W tej kategorii każda subkomenda jest operacją. W tym artykule przedstawiono sposób pobierania i rozpoczynania pracy z adutil.
Konfigurowanie narzędzia adutil dla protokołu LDAP za pośrednictwem protokołu Secure Sockets Layer (SSL)
Należy użyć protokołu Lightweight Directory Access Protocol za pośrednictwem protokołu SSL (LDAPS) zamiast protokołu LDAP (Lightweight Directory Access Protocol). Jeśli chcesz dowiedzieć się więcej o protokole LDAP, zobacz Lightweight Directory Access Protocol (LDAP).
Możesz ustawić opcję useLdaps na true w pliku konfiguracji adutil.json, który znajduje się pod adresem: /var/opt/mssql/.adutil/adutil.json uruchomionym przez użytkownika mssql. W tym przykładzie kodu JSON pokazano, jak skonfigurować ustawienie:
{
"useLdaps": "true"
}
Domyślnie ustawienie useLDAPS jest ustawione na wartość false. Podczas konfigurowania tego ustawienia i używania mssql-conf w celu utworzenia karty kluczy (tabeli kluczy) upewnij się, że uruchomiono mssql-conf jako użytkownik mssql, co można zrobić, uruchamiając następujące polecenie:
sudo su mssql
Aby skonfigurować kartę kluczy przy użyciu mssql-conf, zobacz Utwórz plik keytab usługi SQL Server przy użyciu mssql-conf.
Instalowanie narzędzia adutil
Jeśli nie akceptujesz umowy licencyjnej użytkownika końcowego (EULA) w czasie instalacji, po uruchomieniu polecenia adutil po raz pierwszy należy uruchomić ją z flagą --accept-eula (dla wszystkich dystrybucji).
-
Red Hat Enterprise Linux (RHEL) - ubuntu
- SLES
Pobierz plik konfiguracji repozytorium Microsoft Red Hat.
RHEL 9
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repoRHEL 8
sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repoJeśli masz zainstalowaną poprzednią wersję zapoznawczą programu adutil, usuń wszystkie starsze pakiety adutil przy użyciu następującego polecenia.
sudo yum remove adutil-previewUruchom następujące polecenia, aby zainstalować program adutil.
ACCEPT_EULA=Yakceptuje EULA dla adutil. Umowa licencyjna jest umieszczana na ścieżce/usr/share/adutil/.sudo ACCEPT_EULA=Y yum install -y adutil
Zarządzanie usługą Windows Active Directory przy użyciu narzędzia adutil
Upewnij się, że pobierasz adutil na hosta, który jest już przyłączony do domeny usługi Active Directory. Należy również uzyskać lub odnowić bilet TGT protokołu Kerberos (bilet przyznawania biletów), używając polecenia kinit i uprzywilejowanego konta domeny. Konto, którego używasz, musi mieć uprawnienia do tworzenia kont i głównych nazw usług (SPN) w domenie.
Poniżej przedstawiono kilka przykładów czynności, które można wykonać przy użyciu adutil. Aby wyświetlić listę poleceń najwyższego poziomu, wpisz adutil --help. To polecenie pokazuje polecenia najwyższego poziomu, których można użyć do zarządzania usługą Active Directory i interakcji z nią.
$ adutil --help
adutil - A general AD utility
Usage:
adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
Subcommands:
account Functions for generic account operations
delegation Functions for configuring delegation permissions
group Functions for group management
keytab Functions for keytab management
machine Functions for managing machine accounts
ou Functions for managing organizational units
spn Functions for service principal name (SPN) management
user Functions for user account management
config Functions for modifying adutil configuration
Flags:
--version Displays the program version string.
-h --help Displays help with available flag, subcommand, and positional value parameters.
-d --debug Display additional debugging information when making LDAP/Kerberos calls.
--accept-eula Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.
Aby uzyskać pomoc dotyczącą następnego poziomu poleceń, możesz uruchomić następującą opcję pomocy:
$ adutil spn --help
spn - Functions for service principal name (SPN) management
Usage:
spn [add|addauto|delete|search|show]
Subcommands:
add Adds the provided SPNs to an account
addauto Automatically generate SPNs based on SPN component inputs and add them to an account
delete Deletes the provided SPNs from an account
search Search for an SPN by name or list all SPNs in the directory
show Get the list of SPNs assigned to an account
Flags:
--version Displays the program version string.
-h --help Displays help with available flag, subcommand, and positional value parameters.
-d --debug Display additional debugging information when making LDAP/Kerberos calls.
--accept-eula Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.
$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
Usage:
search [name]
Positional Variables:
name OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
Flags:
--version Displays the program version string.
-h --help Displays help with available flag, subcommand, and positional value parameters.
-n --name OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
-f --filter OPTIONAL: Filter for the search (User,Machine,Group)
-o --ouname OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
-d --debug Display additional debugging information when making LDAP/Kerberos calls.
--accept-eula Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.
Próbki
Każde polecenie jest udokumentowane, aby od razu rozpocząć pracę. Poniżej przedstawiono niektóre typowe działania, do których używa się narzędzia adutil podczas konfigurowania lub administrowania uwierzytelnianiem Active Directory dla SQL Server na platformie Linux i w kontenerach:
Utwórz konto w usłudze Active Directory:
adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COMUtwórz nazwy SPN skojarzone z kontem lub usługą:
adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433Tworzenie plików kluczowych za pomocą adutil:
adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvcOstrożność
Hasło powinno być zgodne z domyślnymi zasadami haseł programu SQL Server. Domyślnie hasło musi mieć długość co najmniej ośmiu znaków i zawierać znaki z trzech z następujących czterech zestawów: wielkie litery, małe litery, cyfry podstawowe-10 i symbole. Hasła mogą mieć długość maksymalnie 128 znaków. Używaj haseł, które są tak długie i złożone, jak to możliwe.
Możesz odwołać się do strony podręcznika adutil przy użyciu polecenia man adutil.
Powiązana zawartość
- Samouczek: Jak skonfigurować uwierzytelnianie usługi Active Directory w SQL Server na systemie Linux przy użyciu narzędzia adutil
- samouczek : konfigurowanie uwierzytelniania usługi Active Directory za pomocą programu SQL Server w kontenerach systemu Linux
- Obracanie kart kluczy w SQL Server na systemie Linux