Exporter (0) Imprimer
Développer tout
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Développer Réduire
Cet article a fait l'objet d'une traduction automatique. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source
1 sur 1 ont trouvé cela utile - Évaluez ce sujet

Ktpass

Configure le nom principal du serveur de l'hôte ou un service dans les Services de domaine Active Directory (AD DS) et génère un fichier .keytab qui contient la clé secrète partagée du service. Le fichier .keytab est basé sur la mise en oeuvre du Massachusetts Institute of Technology (MIT) du protocole d'authentification Kerberos. L'outil de ligne de commande Ktpass permet à des services non Windows qui prennent en charge l'authentification Kerberos à utiliser les fonctionnalités d'interopérabilité fournies par le service Centre de Distribution de clés Kerberos (KDC, Key Distribution Center) dans Windows Server 2008 R2.

Pour obtenir des exemples d'utilisation de cette commande, voir des exemples.

Syntaxe



Ktpass [/ out <FileName>] [/ princ. d'org <PrincipalName>] [/ mapuser <UserAccount>] [/ mapop {add|set}] [{-| +} desonly] [/in <FileName>] [/pass {mot_de_passe | * | {-| +} rndpass}] [/minpass] [/maxpass] [/ crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|{All}] [/itercount] [/ PTapez {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}] [/ kvno <KeyVersionNum>] [/ réponse {-| +}] [/ Target] [/rawsalt] [{-| +} dumpsalt] [{-| +} setupn] [{-| +} setpass <Password>] [/? |/ h|/help]

Paramètres

Paramètre Description

entrée/sortie <FileName>

Spécifie le nom du fichier Kerberos version 5 .keytab à générer.

Cc753771.note(fr-fr,WS.10).gif Remarque
C'est le fichier .keytab que vous transférez vers un ordinateur qui n'exécute pas le système d'exploitation Windows, puis remplacez ou fusionnez avec votre fichier .keytab existant, /Etc/Krb5.keytab.

/princ <PrincipalName>

Spécifie le nom principal dans le formulaire host/computer.contoso.com@CONTOSO.COM.

Cc753771.Warning(fr-fr,WS.10).gif Avertissement
Ce paramètre respecte la casse. Pour plus d'informations, reportez-vous à la section Remarques .

/mapuser <UserAccount>

Mappe le nom de l'entité de sécurité, Kerberos qui est spécifié par le paramètre princ. de org , pour le compte de domaine spécifié.

/mapop {add|set}

Spécifie comment l'attribut de mappage est défini.

  • Ajouter ajoute la valeur du nom d'utilisateur local spécifié. Il s'agit de la valeur par défaut.

  • La valeur définit la valeur de Data Encryption Standard (DES)-uniquement le cryptage du nom d'utilisateur local spécifié.

{-| +} desonly

Cryptage DES uniquement est défini par défaut.

  • + Définit un compte pour le cryptage DES uniquement.

  • - Libère la restriction sur un compte pour le cryptage DES uniquement.

Cc753771.Important(fr-fr,WS.10).gif Important
Windows 7 et Windows Server 2008 R2 ne prennent pas en charge par défaut.

/in <FileName>

Spécifie le fichier .keytab pour lire à partir d'un ordinateur hôte qui n'exécute pas le système d'exploitation Windows.

/PASS {mot_de_passe | * | {-| +} rndpass}

Spécifie un mot de passe pour le nom d'utilisateur principal qui est spécifié par le paramètre princ. de org . Utilisez « * » pour demander un mot de passe.

/minpass

Définit la longueur minimale du mot de passe aléatoire à 15 caractères.

/maxpass

Définit la longueur maximale du mot de passe aléatoire à 256 caractères.

/Crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|{All}

Spécifie les clés sont générées dans le fichier keytab :

  • DES-CBC-CRC est utilisée pour la compatibilité.

  • DES-CBC-MD5 est utilisé pour la compatibilité respecte plus étroitement à l'implémentation MIT

  • RC4-HMAC-NT utilise le cryptage 128 bits.

  • AES256-SHA1 utilise le cryptage AES256-CTS-HMAC-SHA1-96.

  • AES128-SHA1 utilise le chiffrement AES128-CTS-HMAC-SHA1-96.

  • Tous les États que tous les types de chiffrement pris en charge peuvent être utilisés.

Cc753771.note(fr-fr,WS.10).gif Remarque
Les paramètres par défaut sont basés sur d'anciennes versions MIT. Par conséquent, /crypto doivent toujours être spécifiés.

/itercount

Spécifie le nombre d'itérations qui est utilisé pour le cryptage AES. La valeur par défaut est itercount est ignorée pour le cryptage AES non et la valeur à 4 096 pour le cryptage AES.

/PType {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}

Spécifie le type d'entité.

  • KRB5_NT_PRINCIPAL est le type principal général (recommandé).

  • KRB5_NT_SRV_INST est l'instance du service utilisateur.

  • KRB5_NT_SRV_HST est l'instance du service hôte.

/KVNO <KeyVersionNum>

Spécifie le numéro de version de clé. La valeur par défaut est 1.

/ réponse {-| +}

Définit le mode de réponse en arrière-plan :

- Réponses réinitialiser les invites de mot de passe automatiquement à non.

+ Réponses réinitialiser les invites de mot de passe automatiquement sur Oui.

/target

Définit quel contrôleur de domaine à utiliser. La valeur par défaut est le contrôleur de domaine être détecté, basé sur le nom principal. Si le nom du contrôleur de domaine n'est pas résolu, une boîte de dialogue vous demandera un contrôleur de domaine valide.

/rawsalt

Ktpass forces à utiliser l'algorithme rawsalt lors de la génération de la clé. Ce paramètre n'est pas nécessaire.

{-| +} dumpsalt

La sortie de ce paramètre indique l'algorithme de sel MIT qui est utilisé pour générer la clé.

{-| +} setupn

Définit le nom d'utilisateur principal (UPN) avec le nom principal de service (SPN). La valeur par défaut consiste à définir à la fois dans le fichier .keytab.

{-| +} setpass <Password>

Définit le mot de passe fourni. Si rndpass est utilisé, un mot de passe aléatoire est généré à la place.

/?|/ h|/help

Ligne de commande affiche l'aide de Ktpass.

Remarques

Services en cours d'exécution sur les systèmes qui n'exécutent pas le système d'exploitation Windows peuvent être configurés avec des comptes d'instance de service dans les Services d'annuaire Active Directory. Cela permet à n'importe quel client Kerberos pour s'authentifier auprès des services qui n'exécutent pas le système d'exploitation Windows à l'aide de Windows KDC.

Le paramètre /princ n'est pas évalué par Ktpass et est utilisé comme prévu. Il n'y a aucune vérification pour voir si le paramètre correspond à la casse exacte de la valeur de l'attribut userPrincipalName lors de la génération du fichier Keytab. Distinction majuscules/minuscules distributions Kerberos à l'aide de ce fichier Keytab peuvent avoir des problèmes lorsqu'il n'existe aucune correspondance exacte peut échouer lors de l'authentification préalable. Vérifier et récupérer la valeur d'attribut userPrincipalName correct à partir d'un fichier d'exportation LDIFDE. Par exemple :



ldifde /f keytab_user.ldf /d "CN = Keytab User, UO = UserAccounts, DC = contoso, DC = corp, DC = microsoft, DC = com" /p /l base samaccountname, userprincipalname

Exemples

L'exemple suivant illustre comment créer un fichier .keytab Kerberos, machine.keytab, dans le répertoire en cours pour l'utilisateur Sample1. (Vous allez fusionner ce fichier avec le fichier Krb5.keytab sur un ordinateur hôte qui n'exécute pas le système d'exploitation Windows.) Le fichier .keytab Kerberos sera créé pour tous les types de chiffrement pris en charge pour le type d'entité général.

Pour générer un fichier .keytab pour un ordinateur hôte qui n'exécute pas le système d'exploitation Windows, procédez comme suit pour mapper l'entité de sécurité pour le compte et définir le mot de passe principal hôte :

  1. Utilisez le composant logiciel enfichable Active Directory utilisateurs et ordinateurs pour créer un compte d'utilisateur pour un service sur un ordinateur qui n'exécute pas le système d'exploitation Windows. Par exemple, créer un compte portant le nom Sample1.

  2. Ktpass permet de configurer un mappage d'identité du compte d'utilisateur en tapant ce qui suit à une invite de commande :

    
    
    Ktpass /princ host/Sample1.contoso.com@CONTOSO./Mapuser COM Sample1 /pass MyPas$ w0rd/out Sample1.keytab /crypto tous/set PTapez KRB5_NT_PRINCIPAL /mapop
    
    
    Cc753771.note(fr-fr,WS.10).gif Remarque
    Vous ne pouvez pas mapper plusieurs instances de service sur le même compte d'utilisateur.

  3. Fusionner le fichier .keytab avec le fichier /Etc/Krb5.keytab sur un ordinateur hôte qui n'exécute pas le système d'exploitation Windows.

Références supplémentaires

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.