Delen via

ktpass

Hiermee configureert u de server-principalnaam voor de host of service in Active Directory Domain Services (AD DS) en genereert u een .keytab-bestand dat de gedeelde geheime sleutel van de service bevat. Het .keytab-bestand is gebaseerd op de MIT-implementatie (Massachusetts Institute of Technology) van het Kerberos-verificatieprotocol. Met het opdrachtregelprogramma ktpass kunnen niet-Windows-services die Kerberos-verificatie ondersteunen, gebruikmaken van de interoperabiliteitsfuncties van de KDC-service (Kerberos Key Distribution Center).

Syntax

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Parameters

Parameter Description
/buiten <filename> Hiermee geeft u de naam van het Kerberos versie 5 .keytab-bestand te genereren. Notitie: Dit is het .keytab-bestand dat u overbrengt naar een computer waarop het Windows-besturingssysteem niet wordt uitgevoerd, en dat u vervolgens vervangt of samenvoegt met uw bestaande .keytab-bestand, /Etc/Krb5.keytab.
/principe <principalname> Hiermee geeft u de principal-naam in de formulierhost/computer.contoso.com@CONTOSO.COM. Waarschuwing: Deze parameter is hoofdlettergevoelig.
/mapuser <useraccount> Wijst de naam van de Kerberos-principal, die wordt opgegeven door de parameter princ , toe aan het opgegeven domeinaccount.
/mapop {add|set} Hiermee geeft u op hoe het toewijzingskenmerk is ingesteld.
  • Toevoegen - Voegt de waarde van de opgegeven lokale gebruikersnaam toe. Dit is de standaardwaarde.
  • Instellen : hiermee stelt u de waarde in voor versleuteling met alleen DES (Data Encryption Standard) voor de opgegeven lokale gebruikersnaam.
{-|+}desonly DES-only-versleuteling is standaard ingesteld.
  • + Hiermee stelt u een account in voor alleen-DES-versleuteling.
  • - beperking releases voor een account voor DES-only-versleuteling. Belangrijk: Windows biedt standaard geen ondersteuning voor DES.
/in <filename> Hiermee geeft u het .keytab-bestand te lezen van een hostcomputer waarop het Windows-besturingssysteem niet wordt uitgevoerd.
/inhalen {password|*|{-|+}rndpass} Hiermee geeft u een wachtwoord op voor de hoofdgebruikersnaam die wordt opgegeven door de parameter princ . Gebruik * om een wachtwoord te vragen.
/minpass Hiermee stelt u de minimale lengte van het willekeurige wachtwoord in op 15 tekens.
/maxpass Hiermee stelt u de maximale lengte van het willekeurige wachtwoord in op 256 tekens.
/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Hiermee geeft u de sleutels op die worden gegenereerd in het keytab-bestand:
  • DES-CBC-CRC - Gebruikt voor compatibiliteit.
  • DES-CBC-MD5 - Houdt zich nauwer aan de MIT-implementatie en wordt gebruikt voor compatibiliteit.
  • RC4-HMAC-NT - Maakt gebruik van 128-bits codering.
  • AES256-SHA1 - Maakt gebruik van AES256-CTS-HMAC-SHA1-96-codering.
  • AES128-SHA1 - Maakt gebruik van AES128-CTS-HMAC-SHA1-96-codering.
  • Alle : hiermee stelt u dat alle ondersteunde cryptografische typen kunnen worden gebruikt.

Notitie: Omdat de standaardinstellingen zijn gebaseerd op oudere MIT-versies, moet u altijd de /crypto parameter gebruiken.
/itercount Hiermee geeft u het aantal iteraties op dat wordt gebruikt voor AES-versleuteling. De standaardinstelling negeert itercount voor niet-AES-versleuteling en stelt AES-versleuteling in op 4.096.
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} Hiermee geeft u het principal-type.
  • KRB5_NT_PRINCIPAL - Het algemene hoofdtype (aanbevolen).
  • KRB5_NT_SRV_INST - De instantie van de gebruikersservice
  • KRB5_NT_SRV_HST - Het exemplaar van de hostservice
/kvno <keyversionnum> Hiermee geeft u het versienummer van de sleutel. De standaardwaarde is 1.
/antwoorden {-|+} Hiermee stelt u de achtergrondantwoordmodus in:
  • -Antwoorden reset wachtwoord prompts automatisch met NEE.
  • + Antwoorden worden automatisch gereset met JA.
/target Hiermee stelt u in welke domeincontroller moet worden gebruikt. De standaardwaarde is dat de domeincontroller wordt gedetecteerd op basis van de principal-naam. Als de naam van de domeincontroller niet wordt omgezet, wordt in een dialoogvenster om een geldige domeincontroller gevraagd.
/rawsalt dwingt ktpass om het rawsalt-algoritme te gebruiken bij het genereren van de sleutel. Deze parameter is optioneel.
{-|+}dumpsalt De uitvoer van deze parameter toont het MIT-zout-algoritme dat wordt gebruikt om de sleutel te genereren.
{-|+}setupn Hiermee stelt u de UPN (User Principal Name) in naast de SPN (Service Principal Name). De standaardwaarde is om beide in het .keytab-bestand in te stellen.
{-|+}setpass <password> Hiermee stelt u het wachtwoord van de gebruiker in wanneer deze is opgegeven. Als rndpass wordt gebruikt, wordt in plaats daarvan een willekeurig wachtwoord gegenereerd.
/? Geeft Help weer voor deze opdracht.

Remarks

  • Services die worden uitgevoerd op systemen waarop het Windows-besturingssysteem niet wordt uitgevoerd, kunnen worden geconfigureerd met service-exemplaaraccounts in AD DS. Hierdoor kan elke Kerberos-client worden geverifieerd bij services waarop het Windows-besturingssysteem niet wordt uitgevoerd met behulp van Windows KDCs.

  • De parameter /princ wordt niet geëvalueerd door ktpass en wordt gebruikt zoals voorzien. Er is geen controle om te zien of de parameter overeenkomt met het exacte geval van de userPrincipalName-kenmerkwaarde bij het genereren van het Keytab-bestand. Hoofdlettergevoelige Kerberos-distributies die dit Keytab-bestand gebruiken, kunnen problemen hebben als er geen exacte overeenkomst is en zelfs kan mislukken tijdens pre-verificatie. De juiste userPrincipalName-kenmerkwaarde controleren en ophalen uit een LDifDE-exportbestand. For example:

    ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname

Examples

Als u een Kerberos.keytab-bestand wilt maken voor een hostcomputer waarop het Windows-besturingssysteem niet wordt uitgevoerd, moet u de principal toewijzen aan het account en het wachtwoord voor de host-principal instellen.

  1. Gebruik de Active Directory Gebruikers- en computers module om een gebruikersaccount te maken voor een service op een computer waarop het Windows-besturingssysteem niet wordt uitgevoerd. Maak bijvoorbeeld een account aan met de naam User1.

  2. Gebruik de opdracht ktpass om een identiteitstoewijzing voor het gebruikersaccount in te stellen door het volgende te typen:

    ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set

    Note

    U kunt niet meerdere service-exemplaren toewijzen aan hetzelfde gebruikersaccount.

  3. Voeg het .keytab-bestand samen met het bestand /Etc/Krb5.keytab op een hostcomputer waarop het Windows-besturingssysteem niet wordt uitgevoerd.