Exportar (0) Imprimir
Expandir Tudo
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Expandir Minimizar
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Ktpass

Configura o nome do host ou o serviço nos serviços de domínio Active Directory (AD DS) e gera um arquivo .keytab que contém a chave secreta do serviço. O arquivo .keytab é baseado na implementação do protocolo de autenticação Kerberos Massachusetts Institute of Technology (MIT). A ferramenta de linha de comando Ktpass permite que os serviços não-Windows que oferecem suporte à autenticação Kerberos para usar os recursos de interoperabilidade fornecidos pelo serviço do Centro de distribuição de chaves (KDC) Kerberos no Windows Server 2008 R2.

Para obter exemplos de como esse comando pode ser usado, consulte exemplos.

Sintaxe



ktpass [/out <FileName>] [/ princ <PrincipalName>] [/ mapuser <UserAccount>] [/ mapop {add|set}] [{-| +} desonly] [/in <FileName>] [/PASS {senha | * | {-| +} rndpass}] [/minpass] [/maxpass] [/ crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128 SHA1|All}] [/itercount] [/ PDigite {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}] [/ kvno <KeyVersionNum>] [/Answer {-| +}] [/target] [/rawsalt] [{-| +} dumpsalt] [{-| +} setupn] [{-| +} setpass <Password>] [/? |h | / help]

Parâmetros

Parâmetro Descrição

/out <FileName>

Especifica o nome do arquivo Kerberos versão 5 .keytab para gerar.

Cc753771.note(pt-br,WS.10).gif Observação
Este é o arquivo .keytab que transferir para um computador que não está executando o sistema operacional Windows, substituir ou mesclar com o arquivo existente de .keytab, /Etc/Krb5.keytab.

/princ <PrincipalName>

Especifica o nome principal em host/computer.contoso.com@CONTOSO.COM o formulário.

Cc753771.Warning(pt-br,WS.10).gif Aviso
Esse parâmetro diferencia maiúsculas de minúsculas. Consulte comentários para obter mais informações.

/mapuser <UserAccount>

Mapeia o nome de Kerberos principal, que é especificado pelo parâmetro princ , para a conta de domínio especificado.

/mapop {add|set}

Especifica como o atributo de mapeamento é definido.

  • Adicionar adiciona o valor de nome de usuário local especificado. Este é o padrão.

  • Set define o valor para o Data Encryption Standard (DES)-somente criptografia para o nome de usuário local especificado.

{-| +} desonly

Criptografia de DES é definida por padrão.

  • + Define uma conta para criptografia de DES.

  • - Restrição de lançamentos em uma conta para criptografia de DES.

Cc753771.Important(pt-br,WS.10).gif Importante
Windows 7 e Windows Server 2008 R2 não suportam DES por padrão.

/in <FileName>

Especifica o arquivo .keytab para ler de um computador host que não está executando o sistema operacional Windows.

/PASS {senha | * | {-| +} rndpass}

Especifica uma senha para o nome de usuário especificado pelo parâmetro princ . Use "*" para solicitar uma senha.

/minpass

Define o comprimento mínimo da senha aleatória para 15 caracteres.

/maxpass

Define o comprimento máximo da senha aleatória de 256 caracteres.

/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128 SHA1|All}

Especifica as chaves são geradas no arquivo keytab:

  • DES CBC-CRC é usado para compatibilidade.

  • CBC-DES-MD5 cumpre mais de perto a implementação MIT e é usado para compatibilidade.

  • RC4-HMAC-NT emprega a criptografia de 128 bits.

  • AES256-SHA1 utiliza criptografia AES256-CTS-HMAC-SHA1-96.

  • AES128-SHA1 utiliza criptografia AES128 CTS HMAC-SHA1 96.

  • Todos os estados que podem ser usados todos os tipos de criptografia com suporte.

Cc753771.note(pt-br,WS.10).gif Observação
As configurações padrão são baseadas em versões mais antigas do MIT. Portanto, /crypto sempre deve ser especificado.

/itercount

Especifica a contagem de iteração é usada para criptografia AES. O padrão é que itercount é ignorado para criptografia AES não e definido no 4.096 para criptografia AES.

/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}

Especifica o tipo de entidade.

  • KRB5_NT_PRINCIPAL é o tipo de entidade geral (recomendado).

  • KRB5_NT_SRV_INST é a instância de serviço do usuário.

  • KRB5_NT_SRV_HST é a instância do serviço de host.

/kvno <KeyVersionNum>

Especifica o número de versão principal. O valor padrão é 1.

e respostas {-| +}

Define o modo de resposta do plano de fundo:

- Respostas redefinir prompts de senha automaticamente com não.

+ Respostas redefinir prompts de senha automaticamente com Sim.

/Target

Define qual controlador de domínio para usar. O padrão é o controlador de domínio ser detectado, com base no nome principal. Se não resolver o nome do controlador de domínio, uma caixa de diálogo solicitará um controlador de domínio válido.

/rawsalt

Força Ktpass para usar o algoritmo de rawsalt ao gerar a chave. Este parâmetro não é necessário.

{-| +} dumpsalt

A saída deste parâmetro mostra o algoritmo de salt MIT está sendo usado para gerar a chave.

{-| +} setupn

Define o nome principal do usuário (UPN) com o nome principal de serviço (SPN). O padrão é tanto no arquivo .keytab.

{-| +} setpass <Password>

Define a senha do usuário quando fornecido. Se rndpass for usado, uma senha aleatória é gerada.

/?|h | / ajuda

Linha de comando exibe ajuda para Ktpass.

Comentários

Serviços em execução em sistemas que não estão executando o sistema operacional Windows podem ser configurados com contas de instância de serviço nos serviços de diretório do Active Directory. Isso permite que qualquer cliente Kerberos autenticar a serviços que não estejam executando o sistema operacional Windows usando o Windows KDCs.

O parâmetro /princ não será avaliado pelo Ktpass e é usado como fornecido. Não há nenhuma verificação se o parâmetro corresponde a ocorrência exata do valor do atributo userPrincipalName ao gerar o arquivo Keytab. Maiúsculas e minúsculas distribuições de Kerberos usando este arquivo Keytab podem ter problemas quando não houver nenhuma correspondência exata de maiúsculas e pode falhar durante a pré-autenticação. Verificar e recuperar o valor do atributo correto userPrincipalName de um arquivo de exportação LDIFDE. Por exemplo:



ldifde /f keytab_user.ldf /d "CN = usuário Keytab, UO = contas de usuários, DC = contoso, DC = corp, DC = microsoft, DC = com" /p /l base samaccountname, userprincipalname

Exemplos

O exemplo a seguir ilustra como criar um arquivo do Kerberos .keytab, machine.keytab, no diretório atual para o usuário Sample1. (Você irá mesclar esse arquivo com o arquivo Krb5.keytab em um computador host que não está executando o sistema operacional Windows.) Será criado o arquivo .keytab do Kerberos para todos os tipos de criptografia com suporte para o tipo de entidade geral.

Para gerar um arquivo de .keytab para um computador host que não está executando o sistema operacional Windows, use as seguintes etapas para mapear a conta principal e definir a senha principal do host:

  1. Use o snap-in Active Directory Users and Computers para criar uma conta de usuário para um serviço em um computador que não está executando o sistema operacional Windows. Por exemplo, crie uma conta com nome Sample1.

  2. Use Ktpass para configurar um mapeamento de identidade da conta de usuário digitando o seguinte no prompt de comando:

    
    
    ktpass /princ host/Sample1.contoso.com@CONTOSO.COM /mapuser Sample1 /pass MyPas$ w0rd/out Sample1.keytab /crypto todos/definir PDigite KRB5_NT_PRINCIPAL /mapop
    
    
    Cc753771.note(pt-br,WS.10).gif Observação
    Você não pode mapear várias instâncias de serviço para a mesma conta de usuário.

  3. Mescle o arquivo .keytab com o arquivo /Etc/Krb5.keytab em um computador host que não está executando o sistema operacional Windows.

Referências adicionais

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft