ktpass
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Настраивает имя субъекта-сервера для узла или службы в службах домен Active Directory (AD DS) и создает файл keytab, содержащий общий секретный ключ службы. Файл keytab основан на реализации протокола проверки подлинности Kerberos в Массачусетском институте технологий (MIT). Средство командной строки ktpass позволяет службам, не поддерживающим проверку подлинности Kerberos, использовать функции взаимодействия, предоставляемые службой Центра распространения ключей Kerberos (KDC).
Синтаксис
ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>] [/?|/h|/help]
Параметры
| Параметр | Описание |
|---|---|
/out <filename> |
Указывает имя создаваемого файла Kerberos версии 5 .keytab. Примечание. Это файл keytab, который вы передаете на компьютер, который не работает под управлением операционной системы Windows, а затем замените или слияние с существующим файлом keytab, /Etc/Krb5.keytab. |
/princ <principalname> |
Указывает имя субъекта в узле формы/computer.contoso.com@CONTOSO.COM. Предупреждение. Этот параметр учитывает регистр. |
/mapuser <useraccount> |
Карты имя субъекта Kerberos, указанного параметром princ, в указанную учетную запись домена. |
/mapop {add|set} |
Указывает, как задан атрибут сопоставления.
|
{-|+}десонно |
Шифрование только для DES устанавливается по умолчанию.
|
/В <filename> |
Указывает файл .keytab для чтения с хост-компьютера, который не работает под управлением операционной системы Windows. |
/Пройти {password|*|{-|+}rndpass} |
Задает пароль для имени основного пользователя, указанного параметром princ . Используйте для * запроса пароля. |
| /minpass | Задает минимальную длину случайного пароля 15 символов. |
| /maxpass | Задает максимальную длину случайного пароля 256 символов. |
/Крипто {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} |
Указывает ключи, созданные в файле keytab:
Примечание. Так как параметры по умолчанию основаны на старых версиях MIT, всегда следует использовать |
| /itercount | Указывает число итерации, используемое для шифрования AES. Значение по умолчанию игнорирует итерсчет для шифрования, отличного от AES, и задает для AES значение 4096. |
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} |
Указывает тип субъекта.
|
/kvno <keyversionnum> |
Указывает номер версии ключа. Значение по умолчанию равно 1. |
/Ответ {-|+} |
Задает режим фонового ответа:
|
| /target | Задает используемый контроллер домена. Значение по умолчанию предназначено для обнаружения контроллера домена на основе имени субъекта. Если имя контроллера домена не разрешено, диалоговое окно запросит допустимый контроллер домена. |
| /rawsalt | заставляет ktpass использовать необработанный алгоритм при создании ключа. Это необязательный параметр. |
{-|+}dumpsalt |
Выходные данные этого параметра показывают алгоритм соли MIT, используемый для создания ключа. |
{-|+}setupn |
Задает имя субъекта-пользователя (UPN) в дополнение к имени субъекта-службы (SPN). Значение по умолчанию — задать оба значения в файле KEYTAB. |
{-|+}setpass <password> |
Задает пароль пользователя при указании. Если используется rndpass, вместо этого создается случайный пароль. |
| /? | Отображает справку для этой команды. |
Замечания
Службы, работающие в системах, не работающих под управлением операционной системы Windows, можно настроить с учетными записями экземпляра службы в AD DS. Это позволяет любому клиенту Kerberos проходить проверку подлинности в службах, которые не работают под управлением операционной системы Windows с помощью KDCs Windows.
Параметр /princ не вычисляется ktpass и используется в качестве предоставленного. Нет проверка, чтобы узнать, соответствует ли параметр точному регистру значения атрибута userPrincipalName при создании файла Keytab. Дистрибутивы Kerberos с учетом регистра, использующие этот файл Keytab, могут иметь проблемы, если нет точного совпадения регистра, и даже может завершиться ошибкой во время предварительной проверки подлинности. Чтобы проверка и получить правильное значение атрибута userPrincipalName из файла экспорта LDifDE. Например:
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
Примеры
Чтобы создать файл Kerberos .keytab для хост-компьютера, не работающего под управлением операционной системы Windows, необходимо сопоставить субъекта с учетной записью и задать пароль субъекта-узла.
Используйте оснастку "Пользователь Active Directory " и "Компьютеры ", чтобы создать учетную запись пользователя для службы на компьютере, который не работает под управлением операционной системы Windows. Например, создайте учетную запись с именем User1.
Используйте команду ktpass, чтобы настроить сопоставление удостоверений для учетной записи пользователя, введя следующее:
ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop setПримечание.
Невозможно сопоставить несколько экземпляров службы с одной учетной записью пользователя.
Объедините файл keytab с файлом /Etc/Krb5.keytab на главном компьютере, который не работает под управлением операционной системы Windows.