Dela via

Introduktion till adutil – Active Directory-verktyg

  • Artikel

gäller för:SQL Server – Linux

Verktyget adutil är ett kommandoradsgränssnitt (CLI) för att konfigurera och hantera Windows Active Directory-domäner för SQL Server på Linux och containrar, utan att växla mellan Windows- och Linux-datorer för att hantera Active Directory. Kontrollera att du laddar ned adutil- till en värd som redan är ansluten till en Active Directory-domän.

Stöd för adutil är endast begränsat för SQL Server-användningsfall.

Du behöver inte använda adutil- för att aktivera Active Directory-autentisering för SQL Server i Linux eller containrar. Du kan också använda verktyg som ktpass, enligt beskrivningen i Självstudie: Använda Active Directory-autentisering med SQL Server på Linux.

Verktyget adutil är utformat som en serie kommandon och underkommandon, med extra flaggor som du anger som ytterligare indata. Varje kommando på den översta nivån representerar en kategori av administrativa funktioner. Inom den kategorin är varje underkommando en åtgärd. Den här artikeln visar hur du kan ladda ned och komma igång med adutil.

Konfigurera adutil för LDAP över Secure Sockets Layer (SSL)

Du bör använda Lightweight Directory Access Protocol via SSL (LDAPS) i stället för Lightweight Directory Access Protocol (LDAP). Om du vill veta mer om LDAP kan du läsa Lightweight Directory Access Protocol (LDAP).

Du kan ställa in alternativet useLdaps till true i konfigurationsfilen adutil.json, som finns på: /var/opt/mssql/.adutil/adutil.json när den körs som användaren mssql. Det här JSON-kodexemplet visar hur du konfigurerar inställningen:

{
    "useLdaps": "true"
}

Som standard är inställningen useLDAPS inställd på false. När du konfigurerar den här inställningen och använder mssql-conf för att skapa nyckelfliken (nyckeltabellen) ska du köra mssql-conf som användaren mssql, vilket du kan göra genom att köra följande kommando:

sudo su mssql

Information om hur du konfigurerar nyckelfliken med hjälp av mssql-conffinns i Skapa nyckelfliksfilen för SQL Server-tjänsten med mssql-conf.

Installera adutil

Om du inte godkänner licensavtalet för slutanvändare (EULA) under installationstillfället måste du köra det med flaggan --accept-eula (för alla distributioner) när du kör kommandot adutil.

  1. Ladda ned konfigurationsfilen för Microsoft Red Hat-lagringsplatsen.

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Om du hade en tidigare förhandsversion av adutil installerad tar du bort alla äldre adutil--paket med hjälp av följande kommando.

    sudo yum remove adutil-preview

  3. Kör följande kommandon för att installera adutil. ACCEPT_EULA=Y godkänner licensavtalet för adutil. Slutanvändarlicensavtalet finns på sökvägen /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Använda adutil för att hantera Windows Active Directory

Kontrollera att du laddar ned adutil- till en värd som redan är ansluten till en Active Directory-domän. Du måste också hämta eller förnya Kerberos TGT (biljettbeviljande biljett) med hjälp av kommandot kinit och ett privilegierat domänkonto. Det konto som du använder måste ha behörighet att skapa konton och tjänsthuvudnamn (SPN) på domänen.

Här följer några exempel på åtgärder som du kan utföra med adutil. Om du vill se en lista över kommandon på den översta nivån skriver du adutil --help. Det här kommandot visar de högsta kommandon som du kan använda för att hantera och interagera med Active Directory.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Om du vill söka hjälp med nästa nivå av kommandon kan du köra följande hjälpalternativ:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Prover

Varje kommando dokumenteras så att du kan komma igång direkt. Här är några av de vanliga aktiviteter som adutil används för när du konfigurerar eller administrerar Active Directory-autentisering för SQL Server i Linux och containrar:

  • Skapa ett konto i Active Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Skapa SPN:er som är associerade med ett konto eller en tjänst:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Skapa nyckelflikar med adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Försiktighet

    Lösenordet bör följa SQL Server-standardprincipen för lösenord. Lösenordet måste som standard vara minst åtta tecken långt och innehålla tecken från tre av följande fyra uppsättningar: versaler, gemener, bas-10 siffror och symboler. Lösenord kan vara upp till 128 tecken långa. Använd lösenord som är så långa och komplexa som möjligt.

Du kan referera till referenssidan för adutil med hjälp av kommandot man adutil.

Relaterat innehåll