Ini adalah perintah msktutil yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
msktutil - mengambil dan mengelola tab kunci kerberos di lingkungan Direktori Aktif
RINGKASAN
msktutil [perintah 1] [perintah 2] [perintah 3] ...
DESKRIPSI
msktutil adalah klien tab kunci Unix/Linux untuk lingkungan Microsoft Active Directory. Ini
program mampu membuat akun di Active Directory, menambahkan prinsip layanan ke
akun tersebut, dan membuat file keytab lokal sehingga layanan kerberizied dapat memanfaatkan
Direktori aktif sebagai ranah Kerberos. msktutil akan membuat dan mengelola akun mesin dengan
bawaan. Opsi --use-service-account memungkinkan msktutil beroperasi pada akun layanan.
msktutil mengharuskan pustaka klien Kerberos diinstal dan dikonfigurasi dengan benar
untuk menggunakan Active Directory sebagai ranah.
Setiap kali kepala sekolah ditambahkan atau tab kunci diperbarui, kata sandi rahasia untuk
akun yang sesuai diubah. Secara default, kata sandi tidak disimpan, jadi perlu
direset setiap kali msktutil dijalankan. Semua entri di tab kunci akan otomatis
diperbarui setiap kali kata sandi diatur ulang. Entri sebelumnya akan dibiarkan di tab kunci,
jadi sesi yang menggunakan versi kunci yang lebih lama tidak akan rusak. Perilaku ini mirip dengan
cara host Windows menangani perubahan kata sandi mesin.
KREDENSI
Ada dua metode umum dalam menggunakan program ini. Yang pertama adalah "kinit" dengan
Kredensial seperti administrator yang memiliki izin untuk membuat objek komputer di . Anda
Server Direktori Aktif. Jika Anda menjalankan program dengan kredensial seperti itu, Anda dapat membuat
akun komputer atau akun layanan baru dari awal.
Yang kedua adalah membuat akun sebelumnya dengan kredensial seperti itu, dan kemudian memanggil msktutil
pada mesin tanpa izin khusus. Ketika akun atau layanan komputer
akun sudah ada, msktutil akan mencoba mengautentikasi sebagai akun itu menggunakan salah satu dari
keytab yang ada, atau jika gagal, password default. Ketika kata sandi default itu adalah
tidak ditentukan dengan opsi --old-account-password, msktutil akan menggunakan default
kata sandi mesin. Ini kemudian akan mengubah kata sandi dan memperbarui tab kunci dengan tepat.
Ini biasanya merupakan pilihan yang lebih nyaman ketika menggabungkan banyak komputer ke domain.
Untuk membuat akun komputer terlebih dahulu, Anda dapat menggunakan Pengguna dan Komputer Direktori Aktif
GUI, pilih "komputer baru" dari menu klik kanan, dan ketik nama DNS pendek, lalu
klik kanan pada objek yang baru dibuat dan pilih "Reset akun" untuk mengatur kata sandinya
nilai default. Alternatif lain adalah memanggil msktutil dengan --precreate
argumen. Kedua metode mencapai hal yang sama.
Untuk pra-membuat akun layanan, Anda dapat menggunakan Pengguna Direktori Aktif dan GUI Komputer,
pilih "pengguna baru" dari menu klik kanan, isi semua data yang diperlukan, atur kata sandi
ke nilai tertentu dan gunakan setspn.exe untuk mengatur servicePrincipalName(s) yang diinginkan. Anda
dapat juga memilih "harus mengubah kata sandi saat masuk berikutnya".
PASSWORD Kadaluwarsa
Ketahuilah bahwa mesin Windows akan, secara default, secara otomatis mengubah akun mereka
kata sandi setiap 30 hari, dan dengan demikian banyak domain memiliki jendela kedaluwarsa kata sandi 90 hari, setelah
yang keytab Anda akan berhenti bekerja. Ada dua cara untuk mengatasinya:
a) (Diutamakan): Pastikan Anda menjalankan tugas cron harian untuk menjalankan msktutil --auto-update,
yang akan mengubah kata sandi secara otomatis 30 hari setelah terakhir diubah dan diperbarui
tab kunci.
b) (Tidak disukai): nonaktifkan kedaluwarsa kata sandi untuk akun melalui --dont-expire-password
opsi (atau dengan cara lain menyetel flag DONT_EXPIRE_PASSWORD di userAccountControl di AD).
PASSWORD KEBIJAKAN MASALAH
Bagian ini hanya berlaku untuk msktutil --use-service-account.
Meskipun kata sandi akun mesin dapat diubah kapan saja, akun layanan adalah pengguna
akun dan domain Active Directory Anda mungkin memiliki kebijakan sandi khusus untuk itu
akun pengguna. Misalnya, "usia kata sandi minimum" biasanya diatur ke 1 hari, yang berarti bahwa
Anda harus menunggu waktu itu berlalu sampai Anda dapat memanggil msktutil --update --use-
layanan-akun.
LAIN CATATAN
Tidak seperti implementasi kerberos lainnya, Active Directory hanya memiliki satu kunci untuk semua
prinsipal yang terkait dengan akun. Jadi, jika Anda membuat layanan HTTP/hostname
prinsipal, itu akan berbagi kunci yang sama dengan prinsipal Host/hostname. Jika Anda menghendaki
mengisolasi (keamanan-bijaksana) prinsip layanan yang berbeda, Anda mungkin ingin membuat dedicated
akun layanan untuk mereka (dengan --use-service-account) dan file tab kunci terpisah (dengan
--tab kunci).
Perhatikan juga: kinit -k 'host/computername' *tidak akan berfungsi*, secara default, meskipun itu adalah
prinsip layanan yang valid yang ada di tab kunci Anda. Direktori Aktif tidak mengizinkan Anda untuk
autentikasi sebagai prinsip layanan, jadi jangan gunakan itu sebagai ujian apakah layanan
kepala sekolah sedang bekerja. Jika Anda benar-benar ingin mengautentikasi sebagai pengguna akun komputer,
kinit -k 'nama komputer$' sebagai gantinya.
Jika Anda benar-benar harus dapat mengautentikasi sebagai 'host/nama komputer', Anda juga dapat menggunakan
--upn argumen untuk mengatur atribut userPrincipalName (umumnya membutuhkan administrator
kredensial, bukan kredensial akun komputer). Baik 'nama komputer$' dan nilai
userPrincipalName diperlakukan sebagai nama akun yang valid untuk kinit sebagai.
msktutil akan menggunakan operasi LDAP kerberized untuk berbicara dengan pengontrol domain. Untuk mendapatkan
Tiket layanan LDAP, layanan DNS akan digunakan untuk membuat LDAP pengontrol domain
nama utama. Jika DNS salah dikonfigurasi, konstruksi ini mungkin gagal. Untuk bekerja di sekitar
masalah ini, Anda dapat menentukan nama DNS yang sepenuhnya memenuhi syarat dari pengontrol domain Anda dengan
opsi --server dan sebagai tambahan gunakan opsi --no-reverse-lookups.
Samba (www.samba.org) menyediakan perintah net yang dapat digunakan untuk mengelola tab kunci kerberos
demikian juga. Menggunakan msktutil dan perintah seperti "net ads join" atau "net ads keytab" bersama-sama dapat
menyebabkan masalah. Dengan opsi --set-samba-secret, msktutil dapat digunakan sebagai
pengganti jaring.
Direktori Aktif mencakup data otorisasi (misalnya informasi tentang keanggotaan grup) di
Tiket Kerberos. Informasi ini disebut PAC dan dapat menyebabkan ukuran tiket yang sangat besar.
Terutama layanan HTTP diketahui menghasilkan kegagalan jika ukuran itu melebihi HTTP
ukuran kepala. Jika layanan Anda tidak menggunakan informasi PAC tersebut (yang berlaku untuk
sebagian besar layanan Unix/Linux) Anda dapat menonaktifkannya dengan opsi --no-pac.
MODE
-v, --versi
Menampilkan informasi versi
--help Menampilkan pesan bantuan
-c, --buat
Membuat tab kunci untuk host saat ini atau akun layanan tertentu. Setara dengan
--update --host layanan.
-f, --bilas
Menghapus semua prinsipal untuk nama akun saat ini dari tab kunci, dan membuat
perubahan yang sesuai pada mesin atau akun layanan.
-u, --perbarui
Memaksa perubahan kata sandi dan memperbarui semua entri utama layanan terkait dari
servicePrincipalName dan atribut userPrincipalName. Memperbarui dNSDomainName untuk
akun mesin dan selalu memperbarui atribut EncryptionTypes yang didukung msDS dengan
nilai saat ini, dan menerapkan perubahan lain seperti yang ditentukan.
--pembaruan otomatis
Memeriksa apakah sandi setidaknya berumur 30 hari (dari atribut pwdLastSet), dan
bahwa akun tidak memiliki kedaluwarsa kata sandi yang dinonaktifkan. Jika kondisi tersebut
bertemu, bertindak seperti --update. Juga akan memperbarui jika tab kunci gagal
autentikasi tetapi kata sandi default berhasil (misalnya setelah mengatur ulang akun di
IKLAN). Jika tidak, keluar tanpa melakukan apa pun (bahkan jika opsi modifikasi atribut
diberikan). Opsi ini dimaksudkan untuk digunakan dari crontab harian untuk memastikan bahwa
kata sandi diputar secara teratur.
--membuat sebelumnya
Pra-buat (atau perbarui) akun untuk host yang diberikan dengan kata sandi default. Melakukan
tidak menggunakan atau memperbarui tab kunci lokal. Memerlukan argumen -h atau --computer-name. menyiratkan
--user-creds-only. Umumnya membutuhkan kredensial administrator.
KONEKSI/PENYIAPAN PILIHAN
-b, --dasar
Menentukan basis LDAP relatif saat membuat akun baru. Sebagai contoh,
menentukan '-b OU=Unix' untuk komputer bernama SERVER dalam domain Direktori Aktif
example.com akan membuat akun komputer di jalur LDAP:
CN=SERVER,OU=Unix,DC=CONTOH,DC=COM. Opsi ini juga dapat ditentukan dengan menyetel
variabel lingkungan MSKTUTIL_LDAP_BASE ke nilai yang diinginkan.
Jika tidak ditentukan, nilai default dibaca dari AD (dan default di sana, kecuali
dimodifikasi oleh admin, adalah CN=Komputer untuk akun mesin dan CN=Pengguna untuk layanan
akun).
--nama komputer
Menentukan bahwa akun baru harus menggunakan untuk nama akun komputer dan
Nama Akun SAM. Perhatikan bahwa '$' akan secara otomatis ditambahkan ke SAM
Nama akun. Default untuk nama host mesin, tidak termasuk ranah, dengan titik
diganti dengan tanda hubung.
Yaitu: jika ranahnya adalah EXAMPLE.COM, dan nama hostnya adalah FOO.EXAMPLE.COM,
nama komputer default adalah FOO. Jika nama host adalah FOO.BAR.EXAMPLE.COM, defaultnya
nama komputer adalah FOO-BAR.
--nama akun
Sebuah alias untuk --computer-name yang dapat digunakan saat beroperasi pada akun layanan.
Perhatikan bahwa '$' tidak akan secara otomatis ditambahkan ke Nama Akun SAM ketika
menggunakan akun layanan.
--sandi-akun-lama
Gunakan kata sandi akun yang disediakan untuk otentikasi. Ini berguna jika keytab
belum ada tetapi kata sandi akun komputer diketahui. Ini
kata sandi akan diubah oleh msktutil untuk membuat atau memperbarui tab kunci
--kata sandi
Tentukan kata sandi akun baru alih-alih membuat kata sandi acak. Pertimbangkan
pengaturan kebijakan kata sandi saat menentukan string.
-h, --nama host
Mengganti nama host saat ini untuk digunakan menjadi . Jika ini tidak ditentukan,
nama host lokal akan digunakan. Perhatikan bahwa layanan pencarian nama lokal akan menjadi
untuk memenuhi syarat dan menyelesaikan nama menjadi nama yang sepenuhnya memenuhi syarat, termasuk domain
perpanjangan. Ini memengaruhi nama host default untuk argumen lain, dan default
nama komputer. Nama host juga digunakan untuk menyetel atribut dNSDomainName.
-k, --tab kunci
Menentukan untuk digunakan untuk tab kunci. Opsi ini juga dapat ditentukan oleh
mengatur variabel lingkungan MSKTUTIL_KEYTAB ke nama keytab yang diinginkan
mengajukan. Tab kunci ini dibaca dari, untuk mengotentikasi sebagai yang diberikan
akun, dan ditulis ke, setelah memperbarui kata sandi akun. Bawaan:
/etc/krb5.keytab --keytab-auth-as Menentukan nama utama yang kita harus
coba gunakan, ketika kami mengautentikasi dari tab kunci. Biasanya, msktutil akan mencoba menggunakan
nama akun atau prinsipal host untuk host saat ini. Jika opsi ini adalah
ditentukan, sebagai gantinya msktutil akan mencoba menggunakan nama utama yang diberikan terlebih dahulu, dan
hanya kembali ke perilaku default jika kita gagal mengautentikasi dengan yang diberikan
nama. Opsi ini dapat berguna jika Anda tidak mengetahui kata sandi saat ini untuk
akun yang relevan, tidak memiliki tab kunci dengan prinsipal akun, tetapi Anda memiliki
keytab dengan prinsip layanan yang terkait dengan akun itu.
--server
Menentukan untuk digunakan sebagai pengontrol domain. Ini memengaruhi kerbero dan
operasi ldap. Server juga dapat ditentukan dengan mengatur MSKTUTIL_SERVER
variabel lingkungan. Default: mencari di DNS dari nama ranah.
--server-di belakang-nat
Ketika server berada di belakang firewall yang melakukan Terjemahan Alamat Jaringan,
Pesan KRB-PRIV gagal validasi. Ini karena alamat IP di
bagian terenkripsi dari pesan tidak dapat ditulis ulang dalam proses NAT. Pilihan ini
mengabaikan kesalahan yang dihasilkan untuk proses perubahan kata sandi, memungkinkan sistem
di luar firewall NAT untuk bergabung dengan domain yang dikelola oleh server di dalam NAT
firewall.
--dunia
Menentukan untuk digunakan sebagai alam kerberos. Default: gunakan default_realm dari
[libdefaults] bagian dari krb5.conf.
--lokasi
Temukan dan gunakan pengontrol domain di situs AD tertentu. Opsi ini diabaikan jika
opsi --server digunakan.
-N, --tidak-pencarian terbalik
Jangan mencoba mengkanonikalisasi nama pengontrol domain melalui DNS terbalik
pencarian. Anda mungkin perlu melakukan ini jika klien Anda tidak dapat menyelesaikan catatan PTR untuk
pengontrol domain atau server DNS Anda menyimpan catatan PTR yang salah. Bawaan: Gunakan
Pencarian terbalik DNS untuk mengkanonikalisasi nama DC.
--kredit-pengguna-saja
Jangan mencoba mengautentikasi dengan tab kunci: hanya gunakan kredensial pengguna (dari mis
kinit). Anda mungkin perlu melakukan ini untuk mengubah atribut tertentu yang memerlukan
Kredensial administrator (deskripsi, userAccountControl, userPrincipalName, dalam a
pengaturan AD default).
--auto-update-interval
Jumlah ketika --auto-update akan mengubah kata sandi akun. Default untuk
30 hari.
--bertele-tele
Mengaktifkan pesan status verbose. Dapat ditentukan lebih dari sekali untuk mendapatkan LDAP
debug.
OBYEK PENGATURAN JENIS/ATTRIBUT PILIHAN
--gunakan-layanan-akun
Buat dan pertahankan akun layanan alih-alih akun mesin.
--delegasi
Memungkinkan akun dipercaya untuk didelegasikan. Opsi ini juga dapat diaktifkan
dengan mengatur variabel lingkungan MSKTUTIL_DELEGATION. Ini memodifikasi
atribut userAccountControl. Umumnya membutuhkan kredensial administrator.
--keterangan
Menyetel atribut deskripsi akun ke teks yang diberikan (atau menghapus jika teks adalah
''). Umumnya membutuhkan kredensial administrator.
--nonaktifkan-delegasi
Menonaktifkan akun agar tidak dipercaya untuk didelegasikan. Ini memodifikasi
atribut userAccountControl. Umumnya membutuhkan kredensial administrator.
--disable-no-pac
Menghapus tanda yang menonaktifkan KDC termasuk PAC dalam layanan mesin
tiket. Ini memodifikasi atribut userAccountControl. Umumnya membutuhkan
kredensial administrator.
--jangan-kedaluwarsa-sandi
Menyetel bit DONT_EXPIRE_PASSSWORD di atribut userAccountControl, yang
menonaktifkan kedaluwarsa kata sandi untuk akun ini. Jika Anda tidak menjalankan tugas cron untuk
putar keytab secara berkala, Anda akan ingin mengatur flag ini. Umumnya membutuhkan
kredensial administrator.
--lakukan-kedaluwarsa-kata sandi
Menghapus tanda DONT_EXPIRE_PASSWORD di atribut userAccountControl.
Umumnya membutuhkan kredensial administrator.
--enctypes
Menyetel jenis enkripsi yang didukung di bidang msDs-supportedEncryptionTypes.
Anda dapat ATAU bersama-sama nilai-nilai berikut:
0x1=des-cbc-crc
0x2=des-cbc-md5
0x4=rc4-hmac-md5
0x8=aes128-cts-hmac-sha1
0x10=aes256-cts-hmac-sha1
Nilai ini digunakan untuk menentukan jenis enkripsi mana yang akan ditawarkan AD untuk digunakan, dan
jenis enkripsi mana yang akan dimasukkan ke dalam tab kunci.
Jika nilainya diatur ke 0x3 (yaitu: hanya dua jenis DES), ia juga mencoba untuk
atur flag DES-only di userAccountControl.
Catatan: Windows 2008R2 menolak untuk menggunakan DES secara default; dengan demikian Anda tidak dapat menggunakan DES saja
kunci kecuali Anda telah mengaktifkan enkripsi DES untuk domain Anda terlebih dahulu. Versi terbaru
klien kerberos MIT juga menolak untuk menggunakan DES secara default.
Default: menetapkan nilai ke 0x1C: yaitu, gunakan apa pun kecuali DES.
--izinkan-lemah-kripto
Mengaktifkan penggunaan kunci DES untuk otentikasi. Ini setara dengan MIT
parameter krb5.conf allow_weak_crypto.
--tidak-pac
Menentukan bahwa tiket layanan untuk akun ini tidak boleh berisi PAC. Ini
memodifikasi atribut userAccountControl. Lihat artikel Basis Pengetahuan Microsoft
#832575 untuk detailnya. Opsi ini juga dapat ditentukan dengan menyetel
Variabel lingkungan MSKTUTIL_NO_PAC. Umumnya membutuhkan administrator
kredensial.
-s, --layanan
Menentukan prinsip layanan untuk ditambahkan ke akun (dan dengan demikian tab kunci, jika
sesuai). Layanan ini berbentuk / . Jika nama hostnya adalah
dihilangkan, mengasumsikan nama host saat ini. Dapat ditentukan beberapa kali.
--hapus-layanan
Menentukan prinsip layanan yang akan dihapus dari akun (dan tab kunci jika
sesuai).
--upn
Menyetel atribut userPrincipalName dari akun komputer atau akun layanan ke
menjadi .
UserPrincipalName dapat digunakan selain sAMAccountName (mis
computername$ untuk akun komputer) untuk kinit.
dapat diberikan dalam bentuk singkat (misalnya host/hostname.example.com) atau dalam
bentuk panjang (misalnya host/[email dilindungi]). Singkatnya bentuk default
ranah akan secara otomatis ditambahkan.
Operasi ini membutuhkan hak administrator.
--set-samba-rahasia
Gunakan perintah net changesecretpw Samba untuk mengatur kata sandi akun mesin secara lokal
di rahasia Samba.tdb. $PATH perlu menyertakan perintah net Samba. Samba perlu
dikonfigurasi dengan tepat.
--tidak-tl
Jangan gunakan TLS di LDAP. Lalu lintas LDAP di Active Directory sudah dienkripsi oleh
SASL/GSSAPI jadi tidak perlu TLS.
CONTOH
Untuk pengguna yang tidak memiliki hak istimewa, permintaan yang paling umum adalah:
msktutil --update --host layanan --layanan HTTP
Ini akan memperbarui akun komputer di Active Directory dengan kata sandi baru, tulis a
keytab baru, dan pastikan bahwa ia memiliki prinsip layanan "host" dan "HTTP" untuk
nama host.
msktutil --pembaruan otomatis
Ini berguna dalam pekerjaan cron harian untuk memeriksa dan memutar kata sandi secara otomatis ketika
itu berumur 30 hari.
Untuk pengguna dengan hak istimewa admin di AD, beberapa penggunaan umum:
msktutil --buat --layanan host --layanan HTTP
Ini akan membuat akun komputer di Active Directory dengan kata sandi baru, tulis a
keytab baru, dan pastikan bahwa ia memiliki prinsip layanan "host" dan "HTTP" untuk
nama host.
msktutil --precreate --host computer1.example.com
Ini akan membuat akun untuk komputer1 dengan kata sandi default menggunakan . Anda
kredensial. Ini dapat dilakukan pada host pusat, misalnya untuk skrip penambahan banyak
tuan rumah. Anda kemudian dapat menggunakan msktutil --create di host sendiri (tanpa khusus
kredensial) untuk menggabungkan mereka ke domain.
msktutil --Host afs --service afs --enctypes 0x03
Ini akan membuat prinsip afs/cell.name@REALM, dan mengaitkan prinsipal itu dengan a
akun komputer yang disebut 'afs'. Kepala sekolah akan ditandai sebagai DES saja, yaitu
diperlukan untuk AFS.
msktutil --create --use-service-account --service HTTP/hostname.example.com --keytab /etc/Apache/krb5.keytab --account-name srv-http --no-pac
Ini akan membuat prinsip HTTP/hostname.example.com@REALM, dan mengaitkannya
prinsipal dengan akun layanan yang disebut 'srv-http'. Kunci Kerberos yang sesuai adalah
ditulis ke file keytab /etc/apache/krb5.keytab. Ukuran tiket Kerberos untuk itu
layanan akan tetap kecil karena tidak ada informasi PAC yang akan disertakan.
msktutil --create --service host/nama host --service host/nama host.example.com --set-samba-secret --enctypes 0x4
Ini akan membuat akun komputer di Active Directory yang kompatibel dengan Samba.
Perintah membuat kata sandi baru, menulis tab kunci baru, dan memastikan bahwa itu termasuk
baik "host/hostname" dan "host/hostname.example.com" sebagai prinsip layanan (yaitu
setara dengan apa yang setspn.exe -R akan lakukan di windows). Kata sandi komputer baru adalah
disimpan dalam database secret.tdb Samba untuk menyediakan interoperabilitas dengan Samba. Sebagai Samba
(versi 3) hanya mendukung tiket Kerberos terenkripsi arcfour, opsi --enctypes harus
digunakan untuk memilih hanya jenis enkripsi tersebut.
Gunakan msktutil online menggunakan layanan onworks.net
