Partilhar via

Introdução ao adutil - Utilitário Active Directory

  • Artigo

Aplica-se a:SQL Server - Linux

A ferramenta adutil é um utilitário de interface de linha de comando (CLI) para configurar e gerenciar domínios do Windows Ative Directory para SQL Server em Linux e contêineres, sem alternar entre máquinas Windows e Linux para gerenciar o Ative Directory. Certifique-se de baixar adutil para um host que já está associado a um domínio do Active Directory.

O suporte para adutil é limitado apenas para casos de uso do SQL Server.

Não é necessário usar adutil para habilitar a autenticação do Ative Directory para SQL Server em Linux ou contêineres. Você também pode usar utilitários como ktpass, conforme explicado em Tutorial: Usar a autenticação do Ative Directory com o SQL Server no Linux.

A ferramenta adutil é projetada como uma série de comandos e subcomandos, com sinalizadores extras que você especifica como entrada adicional. Cada comando de nível superior representa uma categoria de funções administrativas. Dentro dessa categoria, cada subcomando é uma operação. Este artigo mostra como você pode baixar e começar a usar adutil.

Configurar adutil para LDAP sobre Secure Sockets Layer (SSL)

Você deve usar o Lightweight Directory Access Protocol over SSL (LDAPS) em vez do Lightweight Directory Access Protocol (LDAP). Se quiser saber mais sobre LDAP, consulte Lightweight Directory Access Protocol (LDAP).

Você pode definir a opção useLdaps para true no arquivo de configuração adutil.json, que está localizado em: /var/opt/mssql/.adutil/adutil.json quando executado sob o usuário mssql. Este exemplo de código JSON mostra como definir a configuração:

{
    "useLdaps": "true"
}

Por padrão, a configuração useLDAPS é definida como false. Ao definir essa configuração e usar mssql-conf para criar o keytab (tabela de teclas), certifique-se de executar mssql-conf como o usuário mssql, o que você pode fazer executando o seguinte comando:

sudo su mssql

Para configurar o keytab usando mssql-conf, consulte Criar o arquivo keytab de serviço do SQL Server usando o mssql-conf.

Instalar adutil

Se você não aceitar o contrato de licença de usuário final (EULA) durante o tempo de instalação, quando executar o comando adutil pela primeira vez, deverá executá-lo com o sinalizador --accept-eula (para todas as distribuições).

  1. Baixe o arquivo de configuração do repositório Microsoft Red Hat.

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Se tiver instalado uma versão prévia anterior de adutil, remova todos os pacotes do adutil mais antigo usando o comando a seguir.

    sudo yum remove adutil-preview

  3. Execute os seguintes comandos para instalar adutil. ACCEPT_EULA=Y aceita o Contrato de Licença de Utilizador Final (EULA) para adutil. O EULA é colocado no caminho /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Use adutil para gerenciar o Windows Ative Directory

Certifique-se de descarregar o adutil para um host que já esteja ligado a um domínio do Active Directory. Você também precisa obter ou renovar o Kerberos TGT (tíquete de concessão de tíquetes), usando o comando kinit e uma conta de domínio privilegiada. A conta usada deve ter permissão para criar contas e SPNs (Nomes da Entidade de Serviço) no domínio.

Aqui estão alguns exemplos de ações que você pode executar usando adutil. Para ver uma lista de comandos de nível superior, digite adutil --help. Este comando mostra os comandos de nível superior que você pode usar para gerenciar e interagir com o Ative Directory.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Para procurar ajuda com o próximo nível de comandos, você pode executar a seguinte opção de ajuda:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Amostras

Cada comando é documentado para que você possa começar imediatamente. Aqui estão algumas das atividades típicas para as quais adutil é usado ao configurar ou administrar a autenticação do Ative Directory para SQL Server no Linux e contêineres:

  • Crie uma conta no Ative Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Crie SPNs associados a uma conta ou serviço:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Crie keytabs usando adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Atenção

    Sua senha deve seguir a política de senha de padrão do SQL Server. Por padrão, a senha deve ter pelo menos oito caracteres e conter caracteres de três dos quatro conjuntos a seguir: letras maiúsculas, letras minúsculas, dígitos de base 10 e símbolos. As palavras-passe podem ter até 128 caracteres. Use senhas tão longas e complexas quanto possível.

Você pode consultar a página de manual de referência do adutil usando o comando man adutil.

Conteúdo relacionado