Это команда msktutil, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
msktutil - получает и управляет вкладками Kerberos в среде Active Directory.
СИНТАКСИС
мсктутил [команда 1] [команда 2] [команда 3] ...
ОПИСАНИЕ
msktutil - это клиент ключей Unix / Linux для сред Microsoft Active Directory. Этот
программа способна создавать учетные записи в Active Directory, добавляя участников служб в
эти учетные записи и создание локальных файлов ключей, чтобы службы Kerberizied могли использовать
Активный каталог как область Kerberos. msktutil будет создавать учетные записи компьютеров и управлять ими с помощью
дефолт. Параметр --use-service-account позволяет msktutil работать с учетными записями служб.
msktutil требует, чтобы клиентские библиотеки Kerberos были правильно установлены и настроены.
использовать Active Directory как область.
Каждый раз, когда добавляется принципал или обновляется вкладка, секретный пароль для
соответствующая учетная запись изменена. По умолчанию пароль не сохраняется, поэтому его необходимо
сбрасываться каждый раз при выполнении msktutil. Все записи в keytab будут автоматически
обновляется при сбросе пароля. Предыдущие записи останутся на вкладке,
поэтому сеансы с использованием более старых версий ключей не прерываются. Это поведение похоже на
способ обработки изменений пароля компьютера хостами Windows.
ПОЛНОМОЧИЯ
Есть два распространенных метода использования этой программы. Первый - "кинить" с
Учетные данные администратора, которые имеют разрешение на создание компьютерных объектов в вашем
Сервер Active Directory. Если вы вызовете программу с такими учетными данными, вы можете создать
новую учетную запись компьютера или сервисную учетную запись с нуля.
Второй - предварительно создать учетные записи с такими учетными данными, а затем вызвать msktutil.
на машине без каких-либо специальных разрешений. Когда учетная запись компьютера или служба
учетная запись уже существует, msktutil попытается аутентифицироваться как эта учетная запись, используя либо
существующий keytab, или, если это не удается, пароль по умолчанию. Когда этот пароль по умолчанию
не указан с параметром --old-account-password, msktutil будет использовать значение по умолчанию
машинный пароль. Затем он изменит пароль и соответствующим образом обновит keytab.
Обычно это более удобный вариант при присоединении к домену большого количества компьютеров.
Для предварительного создания учетной записи компьютера вы можете использовать Active Directory Users and Computers
В графическом интерфейсе выберите «новый компьютер» из контекстного меню и введите короткое DNS-имя, затем
Щелкните правой кнопкой мыши по вновь созданному объекту и выберите «Сбросить учетную запись», чтобы установить пароль на
значение по умолчанию. Другой вариант - вызвать msktutil с параметром --precreate
аргумент. Оба метода достигают одного и того же.
Чтобы предварительно создать учетную запись службы, вы можете использовать графический интерфейс пользователя и компьютеров Active Directory,
выберите «новый пользователь» из контекстного меню, введите все необходимые данные, установите пароль
на определенное значение и используйте setspn.exe, чтобы установить желаемые servicePrincipalName (s). Ты
также можно выбрать «необходимо сменить пароль при следующем входе в систему».
PASSWORD EXPIRY
Имейте в виду, что компьютеры с Windows по умолчанию автоматически изменяют свою учетную запись.
пароль каждые 30 дней, поэтому у многих доменов окно истечения срока действия пароля составляет 90 дней после
который ваш keytab перестанет работать. Есть два способа справиться с этим:
a) (Предпочтительно): убедитесь, что вы выполняете ежедневное задание cron для запуска msktutil --auto-update,
который изменит пароль автоматически через 30 дней после последнего изменения и обновит
keytab.
б) (Не рекомендуется): отключить истечение срока действия пароля для учетной записи с помощью --dont-expire-password
вариант (или иным образом установка флага DONT_EXPIRE_PASSWORD в userAccountControl в AD).
PASSWORD ПОЛИТИКА ВОПРОСЫ
Этот раздел относится только к msktutil --use-service-account.
Хотя пароли учетных записей компьютеров могут быть изменены в любое время, учетные записи служб являются пользовательскими.
учетные записи и ваш домен Active Directory могут иметь специальные политики паролей для этих
учетные записи пользователей. Например, «минимальный срок действия пароля» обычно составляет 1 день, что означает, что
вам придется подождать, пока пройдет это время, пока вы не сможете вызвать msktutil --update --use-
сервис-аккаунт.
ДРУГИЕ ПРИМЕЧАНИЯ
В отличие от других реализаций Kerberos, в Active Directory есть только один ключ для всех
участники, связанные с учетной записью. Итак, если вы создаете службу HTTP / hostname
принципала, у него будет тот же ключ, что и у принципала хост / имя хоста. Если хотите
изолировать (с точки зрения безопасности) разные участники службы, вы можете создать выделенный
сервисный аккаунт для них (с --use-service-account) и отдельный файл keytab (с
--keytab).
Также обратите внимание: kinit -k 'host / computername' * не будет работать * по умолчанию, даже если это
действительный субъект службы, существующий в вашей keytab. Active Directory не позволяет
аутентифицироваться в качестве субъекта-службы, поэтому не используйте это в качестве проверки того,
директор работает. Если вы действительно хотите пройти аутентификацию как пользователь учетной записи компьютера,
kinit -k 'computername $' вместо этого.
Если вам действительно нужно иметь возможность аутентифицироваться как «host / computername», вы также можете использовать
--upn аргумент для установки атрибута userPrincipalName (обычно требуется администратор
учетные данные, а не учетные данные учетной записи компьютера). И 'computername $', и значение
userPrincipalName обрабатываются как допустимые имена учетных записей для kinit как.
msktutil будет использовать керберизованные операции LDAP для взаимодействия с контроллерами домена. Чтобы получить
Билет службы LDAP, служба DNS будет использоваться для создания контроллеров домена LDAP.
основное имя. Если DNS настроен неправильно, это построение может потерпеть неудачу. Чтобы обойти
В этой проблеме вы можете указать полное DNS-имя вашего контроллера домена с помощью
параметр --server и дополнительно используйте параметр --no-reverse-lookups.
Samba (www.samba.org) предоставляет команду net, которую можно использовать для управления вкладками Kerberos.
также. Использование msktutil и таких команд, как "net ads join" или "net ads keytab" вместе, может
привести к неприятностям. С параметром --set-samba-secret msktutil можно использовать как
замена на нетто.
Active Directory включает данные авторизации (например, информацию о членстве в группах) в
Билеты Kerberos. Эта информация называется PAC и может привести к очень большим размерам билетов.
В частности, известно, что службы HTTP вызывают сбои, если этот размер превышает размер HTTP.
размер заголовка. Если ваша служба не использует эту информацию PAC (что верно для
большинство служб Unix / Linux), вы можете просто отключить его с помощью параметра --no-pac.
РЕЖИМЫ
-v, --версия
Отображает информацию о версии
--help Отображает справочное сообщение
-с, --создать
Создает keytab для текущего хоста или данной учетной записи службы. Эквивалентно
--update - хост службы.
-f, --флеш
Удаляет всех участников для текущего имени учетной записи из keytab и делает
соответствующие изменения в учетной записи машины или службы.
-у, --обновить
Принудительно меняет пароль и обновляет все связанные записи субъекта-службы из
Атрибуты servicePrincipalName и userPrincipalName. Обновляет dNSDomainName для
учетные записи компьютеров и всегда обновляет атрибуты msDS-supportedEncryptionTypes с помощью
текущие значения и применяет другие изменения, как указано.
--автоматическое обновление
Проверяет, является ли пароль старше 30 дней (из атрибута pwdLastSet), и
что для учетной записи не отключен срок действия пароля. Если эти условия
встретил, действует так же, как --update. Также будет обновляться, если keytab не удалось
аутентифицироваться, но пароль по умолчанию работал (например, после сброса учетной записи в
ОБЪЯВЛЕНИЕ). В противном случае завершается без каких-либо действий (даже если параметры изменения атрибута
даны). Эта опция предназначена для использования из ежедневного crontab, чтобы гарантировать, что
пароль регулярно меняется.
- создать
Предварительно создайте (или обновите) учетную запись для данного хоста с паролем по умолчанию. Делает
не использовать и не обновлять локальный keytab. Требуется аргумент -h или --computer-name. Подразумевает
--user-creds-only. Обычно требуются учетные данные администратора.
ПОДКЛЮЧЕНИЕ / НАСТРОЙКА ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-b, --base
Указывает относительную базу LDAP при создании новой учетной записи. Например,
указание '-b OU = Unix' для компьютера с именем SERVER в домене Active Directory
example.com создаст учетную запись компьютера по пути LDAP:
CN = СЕРВЕР, OU = Unix, DC = ПРИМЕР, DC = COM. Этот параметр также можно указать, установив
переменной среды MSKTUTIL_LDAP_BASE на желаемое значение.
Если не указано, значение по умолчанию считывается из AD (и значение по умолчанию там, если только
изменено администратором, CN = Компьютеры для учетных записей компьютеров и CN = Пользователи для обслуживания.
учетные записи).
--Имя компьютера
Указывает, что новая учетная запись должна использовать для имени учетной записи компьютера и
Имя учетной записи SAM. Обратите внимание, что к SAM будет автоматически добавлен символ "$".
Название аккаунта. По умолчанию используется имя хоста машины, за исключением области, с точками
заменены тире.
То есть: если область - EXAMPLE.COM, а имя хоста - FOO.EXAMPLE.COM,
имя компьютера по умолчанию - FOO. Если имя хоста - FOO.BAR.EXAMPLE.COM, по умолчанию
имя компьютера - FOO-BAR.
--название аккаунта
Псевдоним для --computer-name, который можно использовать при работе со служебными учетными записями.
Обратите внимание, что "$" не будет автоматически добавляться к имени учетной записи SAM, когда
с использованием сервисных аккаунтов.
- старый-аккаунт-пароль
Используйте предоставленный пароль учетной записи для аутентификации. Это полезно, если keytab
еще не существует, но известен пароль учетной записи компьютера. Этот
пароль будет изменен msktutil для создания или обновления keytab
--пароль
Укажите новый пароль учетной записи вместо создания случайного. Рассмотрим
параметры политики паролей при определении строки.
-h, --hostname
Переопределяет текущее имя хоста, которое будет использоваться . Если это не указано,
будет использоваться имя локального хоста. Обратите внимание, что служба поиска локального имени будет
уточнять и преобразовывать имена в полностью определенные имена, включая домен
расширение. Это влияет на имя хоста по умолчанию для других аргументов и значение по умолчанию
Имя компьютера. Имя хоста также используется для установки атрибута dNSDomainName.
-k, --keytab
Указывает использовать для keytab. Эта опция также может быть указана
установка переменной среды MSKTUTIL_KEYTAB на имя желаемой keytab
файл. Эта таблица ключей читается из, чтобы аутентифицироваться как заданный
учетной записи и записывается после обновления пароля учетной записи. Дефолт:
/etc/krb5.keytab --keytab-auth-as Указывает, какое главное имя мы должны
попробуйте использовать, когда мы аутентифицируемся с keytab. Обычно msktutil пытается использовать
имя учетной записи или принципала хоста для текущего хоста. Если эта опция
указано, вместо этого msktutil попытается сначала использовать данное главное имя, и
вернуться к поведению по умолчанию только в том случае, если мы не сможем пройти аутентификацию с заданным
имя. Эта опция может быть полезна, если вы не знаете текущий пароль для
соответствующая учетная запись, у вас нет keytab с основным аккаунтом, но у вас есть
keytab с субъектом службы, связанным с этой учетной записью.
--сервер
Указывает использовать как контроллер домена. Это влияет как на Kerberos, так и на
ldap операции. Сервер также можно указать, установив MSKTUTIL_SERVER
переменная окружения. По умолчанию: поиск в DNS по имени области.
--сервер-за-нат
Когда сервер находится за брандмауэром, выполняющим преобразование сетевых адресов,
Сообщения KRB-PRIV не проходят проверку. Это потому, что IP-адрес в
зашифрованная часть сообщения не может быть переписана в процессе NAT. Этот вариант
игнорирует результирующую ошибку процесса смены пароля, позволяя системам
вне брандмауэра NAT для присоединения к домену, управляемому серверами внутри NAT
брандмауэр.
--область
Указывает использовать как область Kerberos. По умолчанию: использовать default_realm из
Раздел [libdefaults] файла krb5.conf.
--сайт
Найдите и используйте контроллер домена на определенном сайте AD. Эта опция игнорируется, если
опция --server используется.
-N, --no-обратный поиск
Не пытайтесь канонизировать имя контроллера домена через обратный DNS
поиски. Вам может потребоваться сделать это, если ваш клиент не может разрешить записи PTR для
контроллер домена или ваши DNS-серверы хранят неверные записи PTR. По умолчанию: Использовать
Обратный поиск DNS для канонизации имен контроллеров домена.
--user-creds-only
Не пытайтесь аутентифицироваться с помощью keytab: используйте только учетные данные пользователя (например, из
кинит). Возможно, вам потребуется сделать это, чтобы изменить определенные атрибуты, требующие
Учетные данные администратора (описание, userAccountControl, userPrincipalName, в
настройка AD по умолчанию).
--auto-update-interval
Количество когда --auto-update изменит пароль учетной записи. По умолчанию
30 дней.
--подробный
Включает подробные сообщения о состоянии. Можно указать несколько раз, чтобы получить LDAP
отладка.
ОБЪЕКТ НАСТРОЙКА ТИПА / АТРИБУТА ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
--use-service-account
Создавайте и поддерживайте учетные записи служб вместо учетных записей компьютеров.
--делегация
Позволяет доверять учетной записи для делегирования. Эту опцию также можно включить
установив переменную среды MSKTUTIL_DELEGATION. Это изменяет
атрибут userAccountControl. Обычно требуются учетные данные администратора.
--описание
Устанавливает атрибут описания учетной записи для данного текста (или удаляет, если текст
''). Обычно требуются учетные данные администратора.
- отключение-делегирование
Отключает доверие учетной записи для делегирования. Это изменяет
атрибут userAccountControl. Обычно требуются учетные данные администратора.
--отключить-без-пак
Снимает флаг, который отключает KDC, включая PAC в службу машины
Билеты. Это изменяет атрибут userAccountControl. Обычно требуется
учетные данные администратора.
--dont-expire-пароль
Устанавливает бит DONT_EXPIRE_PASSSWORD в атрибуте userAccountControl, который
отключает истечение срока действия пароля для этой учетной записи. Если вы не запускаете задание cron для
периодически вращайте keytab, вы захотите установить этот флаг. Обычно требуется
учетные данные администратора.
--do-expire-пароль
Снимает флаг DONT_EXPIRE_PASSWORD в атрибуте userAccountControl.
Обычно требуются учетные данные администратора.
--enctypes
Устанавливает поддерживаемые типы шифрования в поле msDs-supportedEncryptionTypes.
Вы можете использовать ИЛИ вместе следующие значения:
0x1 = des-cbc-crc
0x2 = des-cbc-md5
0x4 = rc4-hmac-md5
0x8 = aes128-cts-hmac-sha1
0x10 = aes256-cts-hmac-sha1
Это значение используется для определения того, какие типы шифрования AD предложит использовать, и
какие типы шифрования добавить в keytab.
Если установлено значение 0x3 (то есть: только два типа DES), он также пытается
установите флаг DES-only в userAccountControl.
Примечание. Windows 2008R2 по умолчанию отказывается от использования DES; поэтому вы не можете использовать DES-only
ключи, если вы сначала не включили шифрование DES для своего домена. Последние версии
клиентов Kerberos MIT аналогично отказываются использовать DES по умолчанию.
По умолчанию: устанавливает значение 0x1C: то есть использовать все, кроме DES.
--allow-слабый-крипто
Разрешает использование ключей DES для аутентификации. Это эквивалентно MIT
Параметр krb5.conf allow_weak_crypto.
--no-pac
Указывает, что билеты службы для этой учетной записи не должны содержать PAC. Этот
изменяет атрибут userAccountControl. См. Статью базы знаний Microsoft.
# 832575 для подробностей. Эту опцию также можно указать, установив
Переменная среды MSKTUTIL_NO_PAC. Обычно требуется администратор
полномочия.
-s, --service
Задает субъект-службу для добавления к учетной записи (и, следовательно, keytab, если
подходящее). Услуга имеет вид / . Если имя хоста
опущено, предполагает текущее имя хоста. Можно указывать несколько раз.
- удалить-сервис
Задает субъект-службу, который нужно удалить из учетной записи (и keytab, если
подходящее).
--upn
Устанавливает для атрибута userPrincipalName учетной записи компьютера или учетной записи службы значение
быть .
UserPrincipalName можно использовать в дополнение к sAMAccountName (например,
computername $ для учетных записей компьютеров) для kinit.
можно указать в краткой форме (например, host / hostname.example.com) или в
полная форма (например, хост /[электронная почта защищена]). Вкратце по умолчанию
область будет добавлена автоматически.
Для этой операции требуются права администратора.
--сет-самба-секрет
Используйте команду Samba net changesecretpw для локальной установки пароля учетной записи компьютера.
в секретах Samba .tdb. $ PATH должен включать команду Samba net. Самба нуждается в
быть настроенным соответствующим образом.
--no-TLS
Не используйте TLS в LDAP. Трафик LDAP в Active Directory уже зашифрован
SASL / GSSAPI, поэтому нет необходимости в TLS.
ПРИМЕРЫ
Для непривилегированных пользователей наиболее частыми вызовами являются:
msktutil --update --service хост --service HTTP
Это обновит учетную запись компьютера в Active Directory с новым паролем, выпишет
new keytab и убедитесь, что на нем присутствуют и участники службы "host", и "HTTP" для
имя хоста.
msktutil --автоматическое обновление
Это полезно в ежедневной работе cron для автоматической проверки и смены пароля, когда
ему 30 дней.
Для пользователей с правами администратора в AD некоторые распространенные варианты использования:
msktutil --create --service хост --service HTTP
Это создаст учетную запись компьютера в Active Directory с новым паролем, выпишите
new keytab и убедитесь, что на нем присутствуют и участники службы "host", и "HTTP" для
имя хоста.
msktutil --precreate --host компьютер1.example.com
Это предварительно создаст учетную запись для компьютера1 с паролем по умолчанию, используя ваш
реквизиты для входа. Это можно сделать на центральном хосте, например, добавить сценарий добавления многих
хосты. Затем вы можете использовать msktutil --create на самих хостах (без специальных
учетные данные), чтобы присоединить их к домену.
msktutil --host afs --service afs --enctypes 0x03
Это создаст принципала afs/cell.name@REALM и свяжет этого принципала с
компьютерная учетная запись под названием «afs». Принципал будет отмечен как DES-only, т.е.
требуется для AFS.
msktutil --create --use-service-account --service HTTP / hostname.example.com --keytab /etc/apache/krb5.keytab --account-name srv-http --no-pac
Это создаст принципала HTTP/hostname.example.com@REALM и свяжет его
принципал со служебной учетной записью srv-http. Соответствующие ключи Kerberos будут
записывается в файл keytab /etc/apache/krb5.keytab. Размер билетов Kerberos для этого
сервис останется небольшим, потому что в него не будет включена информация о PAC.
msktutil --create --service host / hostname --service host / hostname.example.com --set-samba-secret --enctypes 0x4
Это создаст учетную запись компьютера в Active Directory, совместимую с Samba.
Команда создает новый пароль, записывает новую вкладку ключей и гарантирует, что она включает
как "host / hostname", так и "host / hostname.example.com" как субъекты службы (что
эквивалентно тому, что setspn.exe -R будет делать в Windows). Новый пароль компьютера будет
хранится в базе данных Samba secrets.tdb для обеспечения взаимодействия с Samba. Как Самба
(версия 3) поддерживает только билеты Kerberos с шифрованием arcfour, параметр --enctypes должен быть
используется для выбора только этого типа шифрования.
Используйте msktutil онлайн с помощью сервисов onworks.net
