Поделиться через


ktpass

Настраивает имя субъекта-сервера для узла или службы в службах домен Active Directory (AD DS) и создает файл keytab, содержащий общий секретный ключ службы. Файл keytab основан на реализации протокола проверки подлинности Kerberos в Массачусетском институте технологий (MIT). Средство командной строки ktpass позволяет службам, не поддерживающим проверку подлинности Kerberos, использовать функции взаимодействия, предоставляемые службой Центра распространения ключей Kerberos (KDC).

Синтаксис

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Параметры

Параметр Описание
/вне <filename> Указывает имя создаваемого файла Kerberos версии 5 .keytab. Примечание. Это файл keytab, который вы передаете на компьютер, который не работает под управлением операционной системы Windows, а затем замените или слияние с существующим файлом keytab, /Etc/Krb5.keytab.
/princ <principalname> Указывает имя субъекта в узле формы/computer.contoso.com@CONTOSO.COM. Предупреждение. Этот параметр учитывает регистр.
/mapuser <useraccount> Сопоставляет имя субъекта Kerberos, указанного параметром princ , с указанной учетной записью домена.
/mapop {add|set} Указывает, как задан атрибут сопоставления.
  • Add — добавляет значение указанного имени локального пользователя. Это значение по умолчанию.
  • Set — задает значение для шифрования только для шифрования данных (DES) для указанного имени локального пользователя.
{-|+}десонно Шифрование только для DES устанавливается по умолчанию.
  • + Задает учетную запись для шифрования только для DES.
  • - Освобождает ограничение учетной записи для шифрования только для DES. Важно: Windows по умолчанию не поддерживает DES.
<filename> Указывает файл .keytab для чтения с хост-компьютера, который не работает под управлением операционной системы Windows.
/проходить {password|*|{-|+}rndpass} Задает пароль для имени основного пользователя, указанного параметром princ . Используйте для * запроса пароля.
/minpass Задает минимальную длину случайного пароля 15 символов.
/maxpass Задает максимальную длину случайного пароля 256 символов.
/крипто {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Указывает ключи, созданные в файле keytab:
  • DES-CBC-CRC — используется для совместимости.
  • DES-CBC-MD5 — более тесно соответствует реализации MIT и используется для обеспечения совместимости.
  • RC4-HMAC-NT — использует 128-разрядное шифрование.
  • AES256-SHA1 — использует шифрование AES256-CTS-HMAC-SHA1-96.
  • AES128-SHA1 — использует шифрование AES128-CTS-HMAC-SHA1-96.
  • Все — указывает, что можно использовать все поддерживаемые типы шифрования.

Примечание. Так как параметры по умолчанию основаны на старых версиях MIT, всегда следует использовать /crypto этот параметр.

/itercount Указывает число итерации, используемое для шифрования AES. Значение по умолчанию игнорирует итерсчет для шифрования, отличного от AES, и задает для AES значение 4096.
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} Указывает тип субъекта.
  • KRB5_NT_PRINCIPAL — общий тип субъекта (рекомендуется).
  • KRB5_NT_SRV_INST — экземпляр службы пользователей
  • KRB5_NT_SRV_HST — экземпляр службы узла
/kvno <keyversionnum> Указывает номер версии ключа. Значение по умолчанию равно 1.
/ответ {-|+} Задает режим фонового ответа:
  • - Ответы сбрасывают запросы на сброс пароля автоматически с помощью NO.
  • + Ответы сбрасывают запросы на сброс пароля автоматически с помощью ДА.
/target Задает используемый контроллер домена. Значение по умолчанию предназначено для обнаружения контроллера домена на основе имени субъекта. Если имя контроллера домена не разрешено, диалоговое окно запросит допустимый контроллер домена.
/rawsalt заставляет ktpass использовать необработанный алгоритм при создании ключа. Это необязательный параметр.
{-|+}dumpsalt Выходные данные этого параметра показывают алгоритм соли MIT, используемый для создания ключа.
{-|+}setupn Задает имя субъекта-пользователя (UPN) в дополнение к имени субъекта-службы (SPN). Значение по умолчанию — задать оба значения в файле KEYTAB.
{-|+}setpass <password> Задает пароль пользователя при указании. Если используется rndpass, вместо этого создается случайный пароль.
/? Отображает справку для этой команды.

Замечания

  • Службы, работающие в системах, не работающих под управлением операционной системы Windows, можно настроить с учетными записями экземпляра службы в AD DS. Это позволяет любому клиенту Kerberos проходить проверку подлинности в службах, которые не работают под управлением операционной системы Windows с помощью KDCs Windows.

  • Параметр /princ не вычисляется ktpass и используется в качестве предоставленного. Нет проверки, соответствует ли параметр точному регистру значения атрибута userPrincipalName при создании файла Keytab. Дистрибутивы Kerberos с учетом регистра, использующие этот файл Keytab, могут иметь проблемы, если нет точного совпадения регистра, и даже может завершиться ошибкой во время предварительной проверки подлинности. Чтобы проверить и получить правильное значение атрибута userPrincipalName из файла экспорта LDifDE. Например:

    ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
    

Примеры

Чтобы создать файл Kerberos .keytab для хост-компьютера, не работающего под управлением операционной системы Windows, необходимо сопоставить субъекта с учетной записью и задать пароль субъекта-узла.

  1. Используйте оснастку "Пользователь Active Directory " и "Компьютеры ", чтобы создать учетную запись пользователя для службы на компьютере, который не работает под управлением операционной системы Windows. Например, создайте учетную запись с именем User1.

  2. Используйте команду ktpass, чтобы настроить сопоставление удостоверений для учетной записи пользователя, введя следующее:

    ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set
    

    Примечание.

    Невозможно сопоставить несколько экземпляров службы с одной учетной записью пользователя.

  3. Объедините файл keytab с файлом /Etc/Krb5.keytab на главном компьютере, который не работает под управлением операционной системы Windows.