Jest to polecenie msktutil, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
msktutil — pobiera i zarządza kartami klawiszy Kerberos w środowisku Active Directory
STRESZCZENIE
msktutil [polecenie 1] [polecenie 2] [polecenie 3] ...
OPIS
msktutil to klient kart klawiszy systemu Unix/Linux dla środowisk Microsoft Active Directory. Ten
program jest w stanie tworzyć konta w Active Directory, dodając jednostki usługi do
tych kont i tworzenie lokalnych plików keytab, aby usługi z kerberyzacją mogły z nich korzystać
Active Directory jako dziedzina Kerberos. msktutil utworzy konta maszynowe i będzie nimi zarządzać
domyślny. Opcja --use-service-account umożliwia msktutil operowanie na kontach usług.
msktutil wymaga, aby biblioteki klienta Kerberos były poprawnie zainstalowane i skonfigurowane
używać usługi Active Directory jako dziedziny.
Za każdym razem, gdy dodawany jest podmiot zabezpieczeń lub aktualizowana jest karta kluczy, tajne hasło do
odpowiednie konto zostało zmienione. Domyślnie hasło nie jest przechowywane, więc musi
być resetowane za każdym razem, gdy msktutil jest wykonywany. Wszystkie wpisy na karcie klawiszy będą automatycznie
aktualizowane po każdym zresetowaniu hasła. W zakładce klawiszy pozostaną dotychczasowe wpisy,
więc sesje korzystające ze starszych wersji kluczy nie zostaną przerwane. To zachowanie jest podobne do
sposób, w jaki hosty systemu Windows obsługują zmiany hasła komputera.
KWALIFIKACJE
Istnieją dwie popularne metody korzystania z tego programu. Pierwszym z nich jest „kinit” z
Poświadczenia podobne do administratora, które mają uprawnienia do tworzenia obiektów komputerowych w twoim
Serwer Active Directory. Jeśli wywołasz program z takimi poświadczeniami, możesz utworzyć
nowe konto komputera lub konto usługi od podstaw.
Drugim jest wstępne utworzenie kont z takimi poświadczeniami, a następnie wywołanie msktutil
na maszynie bez specjalnych uprawnień. Gdy konto komputera lub usługi
konto już istnieje, msktutil spróbuje uwierzytelnić się jako to konto przy użyciu jednego z nich
istniejącą kartę klawiszy lub, jeśli to się nie powiedzie, hasło domyślne. Kiedy to domyślne hasło to
nie określono z opcją --old-account-password, msktutil użyje wartości domyślnej
hasło maszyny. Następnie zmieni hasło i odpowiednio zaktualizuje klawiaturę.
Jest to zwykle wygodniejsza opcja w przypadku dołączania wielu komputerów do domeny.
Aby wstępnie utworzyć konto komputera, możesz skorzystać z przystawki Użytkownicy i komputery usługi Active Directory
GUI, wybierz „nowy komputer” z menu po kliknięciu prawym przyciskiem myszy, a następnie wpisz krótką nazwę DNS
kliknij prawym przyciskiem myszy nowo utworzony obiekt i wybierz „Resetuj konto”, aby ustawić hasło
wartość domyślna. Inną alternatywą jest wywołanie msktutil z opcją --precreate
argument. Obie metody osiągają to samo.
Aby wstępnie utworzyć konto usługi, możesz skorzystać z GUI Active Directory Users and Computers,
wybierz „nowy użytkownik” z menu po kliknięciu prawym przyciskiem myszy, uzupełnij wszystkie wymagane dane, ustaw hasło
do określonej wartości i użyj setspn.exe, aby ustawić żądane servicePrincipalName. Ty
może również wybrać opcję „trzeba zmienić hasło przy następnym logowaniu”.
HASŁO WYGAŚNIĘCIE
Należy pamiętać, że komputery z systemem Windows domyślnie automatycznie zmienią swoje konto
hasło co 30 dni, dlatego wiele domen ma 90-dniowy termin wygaśnięcia hasła
przez co twoja klawiatura przestanie działać. Można sobie z tym poradzić na dwa sposoby:
a) (Preferowane): Upewnij się, że codziennie uruchamiasz zadanie cron, aby uruchomić msktutil --auto-update,
który automatycznie zmieni hasło po 30 dniach od ostatniej zmiany i aktualizacji
karta klawiszy.
b) (Nie preferowane): wyłącz wygaśnięcie hasła dla konta za pomocą opcji --dont-expire-password
opcja (lub w inny sposób ustawienie flagi DONT_EXPIRE_PASSWORD w userAccountControl w AD).
HASŁO POLITYKA ZAGADNIENIA
Ta sekcja dotyczy tylko msktutil --use-service-account.
Chociaż hasła do kont maszynowych można zmienić w dowolnym momencie, konta usług są użytkownikami
konta i Twoja domena Active Directory mogą mieć dla nich specjalne zasady dotyczące haseł
konta użytkowników. Np. „minimalny wiek hasła” jest zwykle ustawiony na 1 dzień, co oznacza, że
będziesz musiał poczekać, aż minie ten czas, aż będziesz mógł wywołać msktutil --update --use-
konto usługi.
INNE UWAGI
W przeciwieństwie do innych implementacji Kerberos, Active Directory ma tylko jeden klucz dla wszystkich
zleceniodawcy powiązani z kontem. Tak więc, jeśli utworzysz usługę HTTP/nazwa hosta
główny, będzie współużytkował ten sam klucz, co główny host/nazwa hosta. Jeśli chcesz
izolować (z punktu widzenia bezpieczeństwa) różne jednostki usługi, możesz chcieć utworzyć dedykowany
konto usługi dla nich (z --use-service-account) i osobny plik keytab (z
--klawisz).
Uwaga: kinit -k 'host/computername' * domyślnie nie będzie działać*, nawet jeśli jest to
prawidłowa nazwa główna usługi istniejąca na karcie kluczy. Usługa Active Directory na to nie pozwala
uwierzytelnić jako jednostkę usługi, więc nie używaj tego jako testu, czy usługa
dyrektor pracuje. Jeśli rzeczywiście chcesz uwierzytelnić się jako użytkownik konta komputera,
zamiast tego kinit -k 'nazwa_komputera $'.
Jeśli naprawdę potrzebujesz uwierzytelnienia jako „nazwa hosta/komputera”, możesz również użyć metody
--upn argument, aby ustawić atrybut userPrincipalName (zwykle wymaga administratora
poświadczenia, a nie poświadczenia konta komputera). Zarówno „nazwa_komputera $”, jak i wartość
userPrincipalName są traktowane jako poprawne nazwy kont, pod którymi można się kinitować.
msktutil będzie używać kerberyzowanych operacji LDAP do komunikowania się z kontrolerami domeny. Aby uzyskać
Bilet usługi LDAP, usługa DNS zostanie wykorzystana do budowy kontrolerów domeny LDAP
imię główne. Jeśli DNS jest źle skonfigurowany, ta konstrukcja może się nie powieść. Do pracy
ten problem, możesz podać w pełni kwalifikowaną nazwę DNS swojego kontrolera domeny
opcję --server i dodatkowo użyj opcji --no-reverse-lookups.
Samba (www.samba.org) udostępnia polecenie net, którego można używać do zarządzania kartami klawiszy Kerberos
również. Używanie narzędzia msktutil i poleceń, takich jak „dołącz do reklam sieciowych” lub „tabela klawiszy reklam sieciowych” razem, może
prowadzić do kłopotów. Z opcją --set-samba-secret msktutil może być używany jako plik
zamiennik netto.
Active Directory zawiera dane autoryzacyjne (np. informacje o członkostwie w grupach) w
Bilety Kerberosa. Ta informacja nazywa się PAC i może prowadzić do bardzo dużych rozmiarów biletów.
Wiadomo, że zwłaszcza usługi HTTP powodują awarie, jeśli ten rozmiar przekracza rozmiar HTTP
rozmiar nagłówka. Jeśli twoja usługa nie korzysta z tych informacji PAC (co jest prawdą dla
większość usług Unix/Linux) możesz go po prostu wyłączyć za pomocą opcji --no-pac.
TRYBY
-v, --wersja
Wyświetla informacje o wersji
--help Wyświetla komunikat pomocy
-c, --tworzenie
Tworzy kartę kluczy dla bieżącego hosta lub danego konta usługi. Równoważny
--update --host usługi.
-f, --flush
Wypłukuje wszystkie podmioty zabezpieczeń dla bieżącej nazwy konta z tabeli kluczy i tworzy
odpowiednie zmiany w komputerze lub koncie usługi.
-u, --aktualizacja
Wymusza zmianę hasła i aktualizuje wszystkie powiązane wpisy nazwy głównej usługi z
servicePrincipalName i userPrincipalName atrybuty. Aktualizuje dNSDomainName dla
kont maszynowych i zawsze aktualizuje atrybuty EncryptionTypes obsługiwane przez msDS
bieżące wartości i stosuje inne określone zmiany.
--automatyczna aktualizacja
Sprawdza, czy hasło ma co najmniej 30 dni (z atrybutu pwdLastSet) i
czy konto nie ma wyłączonej opcji wygaśnięcia hasła. Jeśli są takie warunki
spełnione, działa jak --update. Zaktualizuje się również, jeśli karta klawiszy się nie powiedzie
uwierzytelnić, ale domyślne hasło zadziałało (np. po zresetowaniu konta w
OGŁOSZENIE). W przeciwnym razie kończy działanie bez robienia czegokolwiek (nawet jeśli opcje modyfikujące atrybuty
są podane). Ta opcja jest przeznaczona do użytku z codziennego crontaba, aby to zapewnić
hasło jest regularnie zmieniane.
--utwórz
Utwórz (lub zaktualizuj) konto dla danego hosta z domyślnym hasłem. Robi
nie używać ani nie aktualizować lokalnej tabeli klawiszy. Wymaga argumentu -h lub --nazwa-komputera. implikuje
--user-creds-only. Zwykle wymaga poświadczeń administratora.
PODŁĄCZENIE/KONFIGURACJA OPCJE
-b, --podstawa
Określa względną bazę LDAP podczas tworzenia nowego konta. Na przykład,
określenie „-b OU=Unix” dla komputera o nazwie SERWER w domenie Active Directory
example.com utworzy konto komputera w ścieżce LDAP:
CN=SERWER,OU=Unix,DC=PRZYKŁAD,DC=COM. Tę opcję można również określić przez ustawienie
zmiennej środowiskowej MSKTUTIL_LDAP_BASE na żądaną wartość.
Jeśli nie zostanie określony, wartość domyślna jest odczytywana z AD (i domyślna tam, chyba że
zmodyfikowany przez administratora, to CN=Komputery dla kont komputerów i CN=Użytkownicy dla usługi
rachunki).
--Nazwa komputera
Określa, że nowe konto powinno używać dla nazwy konta komputera i
Nazwa konta SAM. Należy pamiętać, że do SAM zostanie automatycznie dodany znak „$”.
Nazwa konta. Domyślnie nazwa hosta maszyny, z wyłączeniem dziedziny, z kropkami
zastąpione kreskami.
To znaczy: jeśli dziedziną jest PRZYKŁAD.COM, a nazwą hosta jest FOO.PRZYKŁAD.COM,
domyślna nazwa komputera to FOO. Jeśli nazwa hosta to FOO.BAR.EXAMPLE.COM, domyślna
nazwa komputera to FOO-BAR.
--Nazwa konta
Alias opcji --nazwa-komputera, którego można używać podczas operacji na kontach usług.
Należy pamiętać, że znak „$” nie zostanie automatycznie dodany do nazwy konta SAM, kiedy
za pomocą kont usług.
--stare-hasło-konta
Użyj dostarczonego hasła do konta do uwierzytelnienia. Jest to przydatne, jeśli keytab
jeszcze nie istnieje, ale znane jest hasło do konta komputera. Ten
hasło zostanie zmienione przez msktutil w celu utworzenia lub zaktualizowania tablicy kluczy
--hasło
Określ nowe hasło do konta zamiast generować je losowo. Weź pod uwagę
ustawienia zasad haseł podczas definiowania ciągu.
-h, --nazwa_hosta
Zastępuje bieżącą nazwę hosta, która ma być używana . Jeśli nie jest to określone,
zostanie użyta lokalna nazwa hosta. Należy pamiętać, że lokalna usługa wyszukiwania nazw będzie
kwalifikować i zamieniać nazwy na w pełni kwalifikowane nazwy, w tym domenę
rozszerzenie. Ma to wpływ na domyślną nazwę hosta dla innych argumentów oraz na domyślną
Nazwa komputera. Nazwa hosta jest również używana do ustawiania atrybutu dNSDomainName.
-k, --keytab
Określa do użycia dla klawiatury. Ta opcja może być również określona przez
ustawienie zmiennej środowiskowej MSKTUTIL_KEYTAB na nazwę żądanej tabeli klawiszy
plik. Ta karta kluczy jest zarówno odczytywana, aby uwierzytelnić się jako podana
konto i zapisane do konta, po aktualizacji hasła do konta. Domyślny:
/etc/krb5.keytab --keytab-auth-as Określa, którą główną nazwę powinniśmy mieć
spróbuj użyć, gdy uwierzytelniamy się z keytab. Zwykle msktutil spróbuje użyć
nazwa konta lub nazwa podmiotu hosta dla bieżącego hosta. Jeśli ta opcja jest
określony, zamiast tego msktutil spróbuje najpierw użyć podanej nazwy głównej i
powrócą do domyślnego zachowania tylko wtedy, gdy nie uda nam się uwierzytelnić za pomocą podanego
nazwa. Ta opcja może być przydatna, jeśli nie znasz aktualnego hasła do konta
odpowiedniego konta, nie masz zakładki z głównym kontem, ale masz
karta kluczy z jednostką usługi powiązaną z tym kontem.
--serwer
Określa do użycia jako kontroler domeny. Dotyczy to zarówno protokołu Kerberos, jak i
operacje ldap. Serwer można również określić, ustawiając MSKTUTIL_SERVER
Zmienna środowiskowa. Domyślnie: wyszukiwane w DNS na podstawie nazwy domeny.
--server-back-nat
Gdy serwer znajduje się za zaporą sieciową wykonującą translację adresów sieciowych,
Komunikaty KRB-PRIV nie sprawdzają poprawności. Dzieje się tak, ponieważ adres IP w pliku
zaszyfrowanej części wiadomości nie można przepisać w procesie NAT. Ta opcja
ignoruje wynikowy błąd procesu zmiany hasła, zezwalając systemom
poza zaporą NAT, aby dołączyć do domeny zarządzanej przez serwery wewnątrz NAT
zapora ogniowa.
--królestwo
Określa do użycia jako królestwo Kerberos. Domyślnie: użyj default_realm from
Sekcja [libdefaults] pliku krb5.conf.
--strona
Znajdź i używaj kontrolera domeny w określonej witrynie AD. Ta opcja jest ignorowana, jeśli
używana jest opcja --server.
-N, --no-wyszukiwanie wsteczne
Nie próbuj kanonizować nazwy kontrolera domeny przez DNS reverse
wyszukiwania. Może to być konieczne, jeśli klient nie może rozwiązać rekordów PTR dla
kontroler domeny lub serwery DNS przechowują nieprawidłowe rekordy PTR. Domyślnie: Użyj
Wyszukiwania wsteczne DNS w celu kanonizacji nazw kontrolerów domeny.
--tylko-kredyty-użytkownika
Nie próbuj uwierzytelniać się za pomocą karty kluczy: używaj tylko poświadczeń użytkownika (np
kinit). Może być konieczne wykonanie tej czynności w celu zmodyfikowania niektórych wymaganych atrybutów
Poświadczenia administratora (opis, userAccountControl, userPrincipalName, w a
domyślna konfiguracja AD).
--auto-update-interval
Liczba kiedy --auto-update zmieni hasło do konta. Domyślnie do
30 dni.
--gadatliwy
Włącza szczegółowe komunikaty o stanie. Można określić więcej niż jeden raz, aby uzyskać LDAP
debugowanie.
OBIEKT USTAWIANIE TYPU/ATRYBUTU OPCJE
--użyj-konta-usługi
Twórz i obsługuj konta usług zamiast kont maszynowych.
--delegacja
Włącza zaufanie konta do delegowania. Tę opcję można również włączyć
ustawiając zmienną środowiskową MSKTUTIL_DELEGATION. To modyfikuje
atrybut userAccountControl. Zwykle wymaga poświadczeń administratora.
--opis
Ustawia atrybut opisu konta na podany tekst (lub usuwa, jeśli tekst jest
''). Zwykle wymaga poświadczeń administratora.
--wyłącz delegację
Wyłącza zaufanie konta do delegowania. To modyfikuje
atrybut userAccountControl. Zwykle wymaga poświadczeń administratora.
--wyłącz-bez-pac
Usuwa flagę, która uniemożliwia KDC włączenie PAC do usługi maszyny
bilety. Spowoduje to modyfikację atrybutu userAccountControl. Generalnie wymaga
poświadczenia administratora.
--nie wygasa-hasło
Ustawia bit DONT_EXPIRE_PASSSWORD w atrybucie userAccountControl, który
wyłącza wygaśnięcie hasła dla tego konta. Jeśli nie uruchomisz zadania cron do
okresowo obracaj klawiaturę, będziesz chciał ustawić tę flagę. Generalnie wymaga
poświadczenia administratora.
--do-wygasa-hasło
Anuluje ustawienie flagi DONT_EXPIRE_PASSWORD w atrybucie userAccountControl.
Zwykle wymaga poświadczeń administratora.
--enctypes
Ustawia obsługiwane typy szyfrowania w polu msDs-supportedEncryptionTypes.
Możesz LUB razem następujące wartości:
0x1=des-cbc-crc
0x2=des-cbc-md5
0x4=rc4-hmac-md5
0x8=aes128-cts-hmac-sha1
0x10=aes256-cts-hmac-sha1
Ta wartość jest używana do określenia, które typy szyfrowania będą oferowane przez usługę AD i
jakie typy szyfrowania umieścić w karcie kluczy.
Jeśli wartość jest ustawiona na 0x3 (czyli: tylko dwa typy DES), to również próbuje
ustaw flagę DES-only w userAccountControl.
Uwaga: Windows 2008R2 domyślnie odmawia używania DES; dlatego nie możesz używać tylko DES
kluczy, chyba że wcześniej włączyłeś szyfrowanie DES dla swojej domeny. Najnowsze wersje
klientów Kerberos MIT podobnie domyślnie odmawia używania DES.
Domyślnie: ustawia wartość na 0x1C: to znaczy używaj wszystkiego oprócz DES.
--allow-weak-crypto
Umożliwia użycie kluczy DES do uwierzytelniania. Jest to odpowiednik MIT
parametr krb5.conf allow_weak_crypto.
--nie-pac
Określa, że bilety serwisowe dla tego konta nie powinny zawierać PAC. Ten
modyfikuje atrybut userAccountControl. Zobacz artykuł z bazy wiedzy Microsoft Knowledge Base
#832575 po szczegóły. Tę opcję można również określić, ustawiając
Zmienna środowiskowa MSKTUTIL_NO_PAC. Ogólnie wymaga administratora
kwalifikacje.
-s, --serwis
Określa nazwę główną usługi, która ma zostać dodana do konta (a tym samym keytab, jeśli
odpowiedni). Usługa ma formę / . Jeśli nazwa hosta to
pominięty, zakłada bieżącą nazwę hosta. Można określić wiele razy.
--usuń usługę
Określa nazwę główną usługi do usunięcia z konta (i keytab, jeśli
właściwy).
--upn
Ustawia atrybut userPrincipalName konta komputera lub konta usługi na
Być .
UserPrincipalName może być używany oprócz sAMAccountName (np
nazwa_komputera$ dla kont komputerów) dla kinit.
można podać w formie skróconej (np. host/nazwa_hosta.example.com) lub w
długa forma (np. host/[email chroniony]). W skrócie domyślny
dziedzina zostanie automatycznie dodana.
Ta operacja wymaga uprawnień administratora.
--set-samba-sekret
Użyj polecenia netchangesecretpw Samby, aby lokalnie ustawić hasło do konta komputera
w Secrets.tdb Samby. $PATH musi zawierać polecenie sieci Samby. Samba musi
być odpowiednio skonfigurowane.
--nie-tls
Nie używaj TLS w LDAP. Ruch LDAP w Active Directory jest już szyfrowany przez
SASL/GSSAPI, więc TLS nie jest potrzebny.
PRZYKŁADY
W przypadku nieuprzywilejowanych użytkowników najczęstsze wywołania to:
msktutil --update --host usługi --service HTTP
Spowoduje to zaktualizowanie konta komputera w usłudze Active Directory o nowe hasło, wypisz a
new keytab i upewnij się, że są na nim jednostki usługi „Host” i „HTTP”.
nazwę hosta.
msktutil --automatyczna aktualizacja
Jest to przydatne w codziennym zadaniu cron, aby automatycznie sprawdzać i obracać hasło, kiedy
ma 30 dni.
Dla użytkowników z uprawnieniami administratora w AD, niektóre typowe zastosowania:
msktutil --create --service host --service HTTP
Spowoduje to utworzenie konta komputera w usłudze Active Directory z nowym hasłem, wypisz a
new keytab i upewnij się, że są na nim jednostki usługi „Host” i „HTTP”.
nazwę hosta.
msktutil --precreate --host komputer1.example.com
Spowoduje to wstępne utworzenie konta dla komputera1 z domyślnym hasłem przy użyciu twojego
referencje. Można to zrobić na centralnym hoście, np. w celu skryptu dodania wielu
zastępy niebieskie. Następnie możesz użyć msktutil --create na samych hostach (bez special
poświadczenia), aby dołączyć je do domeny.
msktutil --host afs --service afs --enctypes 0x03
Spowoduje to utworzenie podmiotu zabezpieczeń afs/cell.name@REALM i powiązanie tego podmiotu z a
konto komputera o nazwie „afs”. Zleceniodawca zostanie oznaczony jako DES-only, co oznacza
wymagane dla AFS.
msktutil --create --use-service-account --service HTTP/hostname.example.com --keytab /etc/apache/krb5.keytab --account-name srv-http --no-pac
Spowoduje to utworzenie podmiotu zabezpieczeń HTTP/hostname.example.com@REALM i powiązanie go
główny z kontem usługi o nazwie „srv-http”. Odpowiednie klucze Kerberos będą
zapisany w pliku keytab /etc/apache/krb5.keytab. Rozmiar biletów Kerberos do tego
usługa pozostanie niewielka, ponieważ nie zostaną uwzględnione żadne informacje PAC.
msktutil --create --service host/nazwa hosta --service host/hostname.example.com --set-samba-secret --enctypes 0x4
Spowoduje to utworzenie konta komputera w usłudze Active Directory zgodnego z Sambą.
Polecenie tworzy nowe hasło, zapisuje nową kartę klawiszy i upewnia się, że zawiera
zarówno „host/nazwa hosta”, jak i „host/nazwa hosta.example.com” jako jednostki usługi (czyli
odpowiednik tego, co setspn.exe -R zrobiłby w systemie Windows). Nowe hasło komputera będzie
przechowywane w bazie danych Secrets.tdb Samby w celu zapewnienia współdziałania z Sambą. jako Sambę
(wersja 3) obsługuje tylko bilety Kerberos szyfrowane arcfour, opcja --enctypes musi być
służy do wybierania tylko tego typu szyfrowania.
Korzystaj z msktutil online, korzystając z usług onworks.net
