ktpassktpass

Si applica a: Windows Server (canale semestrale), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Configura il nome dell'entità server per l'host o il servizio in servizi di dominio Active Directory (AD DS) e genera un file con estensione keytab che contiene la chiave privata condivisa del servizio.Configures the server principal name for the host or service in active directory Domain Services (AD DS) and generates a .keytab file that contains the shared secret key of the service. Il file KEYTAB è basato sull'implementazione del protocollo di autenticazione Kerberos del Massachusetts Institute of Technology (MIT).The .keytab file is based on the Massachusetts Institute of Technology (MIT) implementation of the Kerberos authentication protocol. Lo strumento da riga di comando lo Ktpass consente ai servizi non Windows che supportano l'autenticazione Kerberos di utilizzare le funzionalità di interoperabilità fornite dal servizio Centro distribuzione chiavi Kerberos (KDC).The ktpass command-line tool allows non-Windows services that support Kerberos authentication to use the interoperability features provided by the Kerberos Key Distribution Center (KDC) service. In questo argomento si applica alle versioni del sistema operativo designate nel si applica a elenco all'inizio dell'argomento.This topic applies to the operating system versions designated in the Applies To list at the beginning of the topic.

SintassiSyntax

ktpass  
[/out <FileName>]   
[/princ <PrincipalName>]   
[/mapuser <UserAccount>]   
[/mapop {add|set}] [{-|+}desonly] [/in <FileName>]  
[/pass {Password|*|{-|+}rndpass}]  
[/minpass]  
[/maxpass]  
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]  
[/itercount]  
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]  
[/kvno <KeyversionNum>]  
[/answer {-|+}]  
[/target]  
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <Password>]  [/?|/h|/help]  

ParametriParameters

ParametroParameter DescrizioneDescription
/out /out Specifica il nome del file Kerberos versione 5 .keytab da generare.Specifies the name of the Kerberos version 5 .keytab file to generate. Nota: Si tratta del file con estensione keytab trasferito a un computer in cui non è in esecuzione il sistema operativo Windows, quindi sostituire o unire con il file con estensione keytab esistente,/Etc/Krb5.keytab.Note: This is the .keytab file that you transfer to a computer that is not running the Windows operating system, and then replace or merge with your existing .keytab file, /Etc/Krb5.keytab.
/princ /princ Specifica il nome dell'entità nel formato host/computer.contoso.com@CONTOSO.COM.Specifies the principal name in the form host/computer.contoso.com@CONTOSO.COM. Avviso: Questo parametro fa distinzione tra maiuscole e minuscole.Warning: This parameter is case sensitive. Per ulteriori informazioni, vedere la sezione Osservazioni .See remarks for more information.
/mapuser /mapuser Mappa il nome dell'entità di Kerberos, è possibile il princ parametro per l'account di dominio specificato.Maps the name of the Kerberos principal, which is specified by the princ parameter, to the specified domain account.
/mapop {aggiungere | set}/mapop {add|set} Specifica come viene impostato l'attributo di mapping.Specifies how the mapping attribute is set.

- Add aggiunge il valore del nome utente locale specificato.- add adds the value of the specified local user name. Questa è l'impostazione predefinita.This is the default.
ilset - imposta il valore per la crittografia DES (Data Encryption Standard) per il nome utente locale specificato.- Set sets the value for Data Encryption Standard (DES)-only encryption for the specified local user name.
{-| +} desonly{-|+}desonly La crittografia DES-only viene impostata per impostazione predefinita.DES-only encryption is set by default.

- + imposta un account per la crittografia des-only.- + Sets an account for DES-only encryption.
- - rilascia la restrizione per un account per la crittografia des-only.- - Releases restriction on an account for DES-only encryption. IMPORTANTE A partire da Windows 7 e Windows Server 2008 R2, Windows non supporta DES per impostazione predefinita.IMPORTANT: Beginning with Windows 7 and Windows Server 2008 R2 , Windows does not support DES by default.
/in /in Specifica il file .keytab per leggere da un computer host che non è in esecuzione il sistema operativo Windows.Specifies the .keytab file to read from a host computer that is not running the Windows operating system.
/pass {password|*|{-|+} rndpass}/pass {Password|*|{-|+}rndpass} Specifica una password per il nome dell'entità utente specificato per il princ parametro.Specifies a password for the principal user name that is specified by the princ parameter. Usare "*" per richiedere una password.Use "*" to prompt for a password.
/minpass/minpass Imposta la lunghezza minima della password casuali a 15 caratteri.Sets the minimum length of the random password to 15 characters.
/maxpass/maxpass Imposta la lunghezza massima della password casuali a 256 caratteri.Sets the maximum length of the random password to 256 characters.
/ crittografia {DES-CBC-CRC | DES-CBC-MD5 | RC4-HMAC-NT | SHA1 AES256 | SHA1 aes128 | All}/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Specifica le chiavi che vengono generate nel file keytab:Specifies the keys that are generated in the keytab file:

per la compatibilità viene usato - des-CBC-CRC .- DES-CBC-CRC is used for compatibility.
- des-CBC-MD5 si attiene più strettamente all'implementazione mit e viene usato per la compatibilità.- DES-CBC-MD5 adheres more closely to the MIT implementation and is used for compatibility.
- RC4-HMAC-NT impiega la crittografia a 128 bit.- RC4-HMAC-NT employs 128-bit encryption.
- AES256-SHA1 usa la crittografia AES256-CTS-HMAC-SHA1-96.- AES256-SHA1 employs AES256-CTS-HMAC-SHA1-96 encryption.
- AES128-SHA1 usa la crittografia Aes128-CTS-HMAC-SHA1-96.- AES128-SHA1 employs AES128-CTS-HMAC-SHA1-96 encryption.
- tutti gli Stati che possono essere utilizzati tutti i tipi crittografici supportati.- All states that all supported cryptographic types can be used. Nota: Le impostazioni predefinite sono basate su versioni MIT precedenti.Note: The default settings are based on older MIT versions. Di conseguenza, /crypto deve sempre essere specificato.Therefore, /crypto should always be specified.
/itercount/itercount Specifica il conteggio delle iterazioni che viene utilizzato per la crittografia AES.Specifies the iteration count that is used for AES encryption. Il valore predefinito è che itercount viene ignorata per la crittografia AES non e impostare a 4.096 per la crittografia AES.The default is that itercount is ignored for non-AES encryption and set at 4,096 for AES encryption.
/ptype {KRB5_NT_PRINCIPAL | KRB5_NT_SRV_INST | KRB5_NT_SRV_HST}/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} Specifica il tipo di entità.Specifies the principal type.

- KRB5_NT_PRINCIPAL è il tipo di entità generale (scelta consigliata).- KRB5_NT_PRINCIPAL is the general principal type (recommended).
- KRB5_NT_SRV_INST è l'istanza del servizio utente.- KRB5_NT_SRV_INST is the user service instance.
- KRB5_NT_SRV_HST è l'istanza del servizio host.- KRB5_NT_SRV_HST is the host service instance.
/kvno /kvno Specifica il numero di versione della chiave.Specifies the key version number. Il valore predefinito è 1.The default value is 1.
/Answer {-| +}/answer {-|+} Imposta la modalità di risposta in background:Sets the background answer mode:

- Answers Reimposta automaticamente i prompt della password con NO.- Answers reset password prompts automatically with NO.

+ Answers Reimposta automaticamente i prompt della password con Sì.+ Answers reset password prompts automatically with YES.
/target/target Imposta il controller di dominio da utilizzare.Sets which domain controller to use. Il valore predefinito è per il controller di dominio essere rilevato, in base al nome dell'entità.The default is for the domain controller to be detected, based on the principal name. Se il nome del controller di dominio non viene risolto, una finestra di dialogo richiederà un controller di dominio valido.If the domain controller name does not resolve, a dialog box will prompt for a valid domain controller.
/rawsalt/rawsalt impone a lo Ktpass di usare l'algoritmo rawsalt durante la generazione della chiave.forces ktpass to use the rawsalt algorithm when generating the key. Questo parametro non è necessaria.This parameter is not needed.
{-| +} dumpsalt{-|+}dumpsalt L'output di questo parametro indica l'algoritmo salt MIT utilizzato per generare la chiave.The output of this parameter shows the MIT salt algorithm that is being used to generate the key.
{-| +} setupn{-|+}setupn Imposta il nome dell'entità utente (UPN) oltre al nome dell'entità servizio (SPN).Sets the user principal name (UPN) in addition to the service principal name (SPN). Per impostazione predefinita viene impostato nel file .keytab.The default is to set both in the .keytab file.
{-|+}setpass {-|+}setpass Imposta la password dell'utente quando fornito.Sets the user's password when supplied. Se si utilizza rndpass, viene generata invece una password casuale.If rndpass is used, a random password is generated instead.
/? | /h | /Help/?|/h|/help Visualizza la guida della riga di comando per lo Ktpass.Displays command-line help for ktpass.

osservazioniremarks

I servizi in esecuzione su sistemi che non eseguono il sistema operativo Windows possono essere configurati con gli account dell'istanza del servizio in servizi di dominio Active Directory.Services running on systems that are not running the Windows operating system can be configured with service instance accounts in active directory Domain Services. In questo modo qualsiasi client Kerberos per l'autenticazione ai servizi che non eseguono il sistema operativo Windows mediante Windows KDC.This allows any Kerberos client to authenticate to services that are not running the Windows operating system by using Windows KDCs.
Il parametro/princ non viene valutato da lo Ktpass e viene usato come fornito.The /princ parameter is not evaluated by ktpass and is used as provided. Non sono presenti controlli per verificare se il parametro corrisponda esattamente del caso del userPrincipalName valore dell'attributo durante la generazione del file Keytab.There is no check to see if the parameter matches the exact case of the userPrincipalName attribute value when generating the Keytab file. Maiuscole/minuscole Kerberos distribuzioni che utilizzano questo file Keytab potrebbero avere problemi quando non esiste alcuna corrispondenza esatta case può avere esito negativo durante la pre-autenticazione.Case sensitive Kerberos distributions using this Keytab file might have problems when there is no exact case match and could fail during pre-authentication. Controllare e recuperare il valore dell'attributo userPrincipalName corretto da un file di esportazione LDifDE.Check and retrieve the correct userPrincipalName attribute value from a LDifDE export file. Ad esempio:For example:

ldifde /f keytab_user.ldf /d "CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com" /p base /l samaccountname,userprincipalname  

EsempiExamples

Nell'esempio seguente viene illustrato come creare un file di .keytab Kerberos, machine.keytab, nella directory corrente per l'utente Sample1.The following example illustrates how to create a Kerberos .keytab file, machine.keytab, in the current directory for the user Sample1. (Si unirà questo file con il file Krb5.keytab in un computer host che non è in esecuzione il sistema operativo Windows.) Verrà creato il file .keytab Kerberos per tutti i tipi di crittografia supportati per il tipo di entità generale.(You will merge this file with the Krb5.keytab file on a host computer that is not running the Windows operating system.) The Kerberos .keytab file will be created for all supported encryption types for the general principal type.
Per generare un file .keytab per un computer host che non è in esecuzione il sistema operativo Windows, utilizzare la procedura seguente per eseguire il mapping di entità per l'account e impostare la password dell'entità dell'host:To generate a .keytab file for a host computer that is not running the Windows operating system, use the following steps to map the principal to the account and set the host principal password:

  1. Utilizzare lo snap-in utenti e computer di Active Directory per creare un account utente per un servizio in un computer in cui non è in esecuzione il sistema operativo Windows.Use the active directory User and computers snap-in to create a user account for a service on a computer that is not running the Windows operating system. Ad esempio, creare un account con il nome Sample1.For example, create an account with the name Sample1.

  2. Usare lo Ktpass per configurare un mapping di identità per l'account utente digitando quanto segue al prompt dei comandi:Use ktpass to set up an identity mapping for the user account by typing the following at a command prompt:

    ktpass /princ host/Sample1.contoso.com@CONTOSO.COM /mapuser Sample1 /pass MyPas$w0rd /out Sample1.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set   
    

    Nota

    È Impossibile eseguire il mapping di più istanze del servizio per lo stesso account utente.You cannot map multiple service instances to the same user account.

  3. Unisce il file .keytab con il file /Etc/Krb5.keytab in un computer host che non è in esecuzione il sistema operativo Windows.Merge the .keytab file with the /Etc/Krb5.keytab file on a host computer that is not running the Windows operating system.

Riferimenti aggiuntiviadditional references

Indicazioni generali sulla sintassi della riga di comandoCommand-Line Syntax Key