Pengantar adutil - Utilitas Direktori Aktif

  • Artikel

Berlaku untuk:SQL Server - Linux

Alat adutil adalah utilitas antarmuka baris perintah (CLI) untuk mengonfigurasi dan mengelola domain Windows Active Directory untuk SQL Server di Linux dan kontainer, tanpa beralih antara komputer Windows dan Linux untuk mengelola Direktori Aktif.

Dukungan untuk adutil hanya terbatas untuk kasus penggunaan SQL Server.

Anda tidak perlu menggunakan adutil untuk mengaktifkan autentikasi Direktori Aktif untuk SQL Server di Linux atau kontainer. Anda juga dapat menggunakan utilitas seperti ktpass, seperti yang dijelaskan dalam Tutorial: Menggunakan autentikasi Direktori Aktif dengan SQL Server di Linux.

Alat adutil dirancang sebagai serangkaian perintah dan subperintah, dengan bendera tambahan yang Anda tentukan sebagai input lebih lanjut. Setiap perintah tingkat atas mewakili kategori fungsi administratif. Dalam kategori tersebut, setiap subperindakan adalah operasi. Artikel ini memperlihatkan kepada Anda cara mengunduh dan memulai adutil.

Mengonfigurasi adutil untuk LDAP melalui Secure Sockets Layer (SSL)

Anda harus menggunakan Lightweight Directory Access Protocol melalui SSL (LDAPS) alih-alih Lightweight Directory Access Protocol (LDAP). Jika Anda ingin mempelajari lebih lanjut tentang LDAP, lihat Lightweight Directory Access Protocol (LDAP).

Anda dapat mengatur useLdaps opsi ke true dalam adutil.json file konfigurasi, yang terletak di: /var/opt/mssql/.adutil/adutil.json saat dijalankan di mssql bawah pengguna. Sampel kode JSON ini menunjukkan cara mengonfigurasi pengaturan:

{
    "useLdaps": "true"
}

Secara default, useLDAPS pengaturan diatur ke false. Saat mengonfigurasi pengaturan ini dan menggunakan mssql-conf untuk membuat keytab (tabel kunci), pastikan Anda menjalankan mssql-conf sebagai pengguna mssql, yang dapat Anda lakukan dengan menjalankan perintah berikut:

sudo su mssql

Untuk menyiapkan keytab menggunakan mssql-conf, lihat Membuat file keytab layanan SQL Server menggunakan mssql-conf.

Menginstal adutil

Jika Anda tidak menerima EULA selama waktu penginstalan, saat Menjalankan perintah adutil untuk pertama kalinya, Anda harus menjalankannya dengan --accept-eula bendera (untuk semua distribusi).

  1. Unduh file konfigurasi repositori Microsoft Red Hat.

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Jika Anda telah menginstal versi pratinjau adutil sebelumnya, hapus paket adutil yang lebih lama menggunakan perintah di bawah ini.

    sudo yum remove adutil-preview

  3. Jalankan perintah berikut untuk menginstal adutil. ACCEPT_EULA=Y menerima EULA untuk adutil. EULA ditempatkan di jalur /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Menggunakan adutil untuk mengelola Windows Active Directory

Pastikan Anda mengunduh adutil ke host yang sudah bergabung ke domain Direktori Aktif. Anda juga perlu mendapatkan atau memperbarui Kerberos TGT (tiket pemberian tiket), menggunakan perintah kinit dan akun domain istimewa. Akun yang Anda gunakan harus memiliki izin untuk membuat akun dan Nama Perwakilan Layanan (SPN) pada domain.

Berikut adalah beberapa contoh tindakan yang dapat Anda lakukan menggunakan adutil. Untuk melihat daftar perintah tingkat atas, ketik adutil --help. Perintah ini menunjukkan perintah tingkat atas yang dapat Anda gunakan untuk mengelola dan berinteraksi dengan Direktori Aktif.

$ adutil --help
adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Untuk mencari bantuan dengan tingkat perintah berikutnya, Anda bisa menjalankan opsi bantuan berikut:

$ adutil spn --help
spn - Functions for service principal name (SPN) management
  Usage:
    spn [add|addauto|delete|search|show]
  Subcommands:
    add       Adds the provided SPNs to an account
    addauto   Automatically generate SPNs based on SPN component inputs and add them to an account
    delete    Deletes the provided SPNs from an account
    search    Search for an SPN by name or list all SPNs in the directory
    show      Get the list of SPNs assigned to an account
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

$ adutil spn search --help
search - Search for an SPN by name or list all SPNs in the directory
  Usage:
     search [name]
  Positional Variables:
    name   OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
  Flags:
    --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -n --name          OPTIONAL: Name of the SPN to search for in the directory. * can be used as a wildcard
    -f --filter        OPTIONAL: Filter for the search (User,Machine,Group)
    -o --ouname        OPTIONAL: Distinguished name of OU in which SPNs should be searched. If omitted, the entire directory will be searched.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Sampel

Setiap perintah didokumenkan sehingga Anda dapat segera memulai. Berikut adalah beberapa aktivitas khas yang digunakan adutil saat mengonfigurasi atau mengelola autentikasi Direktori Aktif untuk SQL Server di Linux dan kontainer:

  • Buat akun di Direktori Aktif:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Buat SPN yang terkait dengan akun atau layanan:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Buat keytabs menggunakan adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password 'P@ssw0rd' -s MSSQLSvc

Anda dapat merujuk ke halaman manual referensi adutil menggunakan perintah man adutil.

Konten terkait