Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Настраивает имя субъекта-сервера для узла или службы в службах домен Active Directory (AD DS) и создает файл keytab, содержащий общий секретный ключ службы. Файл keytab основан на реализации протокола проверки подлинности Kerberos в Массачусетском институте технологий (MIT). Средство командной строки ktpass позволяет службам, не поддерживающим проверку подлинности Kerberos, использовать функции взаимодействия, предоставляемые службой Центра распространения ключей Kerberos (KDC).
Syntax
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Parameters
| Parameter | Description |
|---|---|
/вне <filename> |
Указывает имя создаваемого файла Kerberos версии 5 .keytab. Note: This is the .keytab file you transfer to a computer that isn't running the Windows operating system, and then replace or merge with your existing .keytab file, /Etc/Krb5.keytab. |
/принк <principalname> |
Указывает имя субъекта в узле формы/computer.contoso.com@CONTOSO.COM. Warning: This parameter is case-sensitive. |
/mapuser <useraccount> |
Maps the name of the Kerberos principal, which is specified by the princ parameter, to the specified domain account. |
/мапоп {add|set} |
Указывает, как задан атрибут сопоставления.
|
{-|+}desonly |
Шифрование только для DES устанавливается по умолчанию.
|
/в <filename> |
Указывает файл .keytab для чтения с хост-компьютера, который не работает под управлением операционной системы Windows. |
/проходить {password|*|{-|+}rndpass} |
Specifies a password for the principal user name that is specified by the princ parameter. Используйте для * запроса пароля. |
| /minpass | Задает минимальную длину случайного пароля 15 символов. |
| /maxpass | Задает максимальную длину случайного пароля 256 символов. |
/крипто {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Указывает ключи, созданные в файле keytab:
Note: Because the default settings are based on older MIT versions, you should always use the |
| /itercount | Указывает число итерации, используемое для шифрования AES. The default ignores itercount for non-AES encryption and sets AES encryption to 4,096. |
/pтип {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Указывает тип субъекта.
|
/квно <keyversionnum> |
Указывает номер версии ключа. Значение по умолчанию равно 1. |
/ответ {-|+} |
Задает режим фонового ответа:
|
| /target | Задает используемый контроллер домена. Значение по умолчанию предназначено для обнаружения контроллера домена на основе имени субъекта. Если имя контроллера домена не разрешено, диалоговое окно запросит допустимый контроллер домена. |
| /rawsalt | заставляет ktpass использовать необработанный алгоритм при создании ключа. Это необязательный параметр. |
{-|+}dumpsalt |
Выходные данные этого параметра показывают алгоритм соли MIT, используемый для создания ключа. |
{-|+}setupn |
Задает имя субъекта-пользователя (UPN) в дополнение к имени субъекта-службы (SPN). Значение по умолчанию — задать оба значения в файле KEYTAB. |
{-|+}setpass <password> |
Задает пароль пользователя при указании. Если используется rndpass, вместо этого создается случайный пароль. |
| /? | Отображает справку для этой команды. |
Remarks
Службы, работающие в системах, не работающих под управлением операционной системы Windows, можно настроить с учетными записями экземпляра службы в AD DS. Это позволяет любому клиенту Kerberos проходить проверку подлинности в службах, которые не работают под управлением операционной системы Windows с помощью KDCs Windows.
The /princ parameter isn't evaluated by ktpass and is used as provided. There's no check to see if the parameter matches the exact case of the userPrincipalName attribute value when generating the Keytab file. Дистрибутивы Kerberos с учетом регистра, использующие этот файл Keytab, могут иметь проблемы, если нет точного совпадения регистра, и даже может завершиться ошибкой во время предварительной проверки подлинности. To check and retrieve the correct userPrincipalName attribute value from a LDifDE export file. For example:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Examples
Чтобы создать файл Kerberos .keytab для хост-компьютера, не работающего под управлением операционной системы Windows, необходимо сопоставить субъекта с учетной записью и задать пароль субъекта-узла.
Используйте оснастку "Пользователь Active Directory " и "Компьютеры ", чтобы создать учетную запись пользователя для службы на компьютере, который не работает под управлением операционной системы Windows. For example, create an account with the name User1.
Use the ktpass command to set up an identity mapping for the user account by typing:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setNote
Невозможно сопоставить несколько экземпляров службы с одной учетной записью пользователя.
Merge the .keytab file with the /Etc/Krb5.keytab file on a host computer that isn't running the Windows operating system.