다음을 통해 공유

ktpass

Active Directory 도메인 서비스 (AD DS)에서 호스트 또는 서비스에 대 한 서버 보안 주체 이름 구성 하 고 서비스의 공유 암호 키를 포함 하는.keytab 파일을 생성 합니다. .keytab 파일은 MIT(매사추세츠 공과대학교)의 Kerberos 인증 프로토콜 구현을 기반으로 합니다. ktpass 명령줄 도구를 사용하여 Kerberos 인증을 지원하는 비 Windows 서비스에서 Kerberos 키 배포 센터(KDC) 서비스가 제공하는 상호 운용성 기능을 사용할 수 있습니다.

Syntax

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Parameters

Parameter Description
/아웃 <filename> 생성할 Kerberos 버전 5.keytab 파일의 이름을 지정 합니다. Note: This is the .keytab file you transfer to a computer that isn't running the Windows operating system, and then replace or merge with your existing .keytab file, /Etc/Krb5.keytab.
/프린크 <principalname> 양식 호스트/computer.contoso.com@CONTOSO.COM에서 보안 주체 이름을 지정합니다. Warning: This parameter is case-sensitive.
/맵유저 <useraccount> Maps the name of the Kerberos principal, which is specified by the princ parameter, to the specified ___domain account.
/마팝 {add|set} 매핑 특성을 설정 하는 방법을 지정 합니다.
  • Add - Adds the value of the specified local user name. 기본값입니다.
  • Set - Sets the value for Data Encryption Standard (DES)-only encryption for the specified local user name.
{-|+}desonly DES 전용 암호화는 기본적으로 설정 됩니다.
  • + DES 전용 암호화에 대 한 계정을 설정합니다.
  • - DES 전용 암호화에 대 한 계정에 대 한 제한을 해제합니다. Important: Windows doesn't support DES by default.
/안으로 <filename> Windows 운영 체제를 실행 하지 않는 호스트 컴퓨터에서 읽을.keytab 파일을 지정 합니다.
/합격 {password|*|{-|+}rndpass} Specifies a password for the principal user name that is specified by the princ parameter. *를 사용하여 암호를 입력하라는 메시지를 표시합니다.
/minpass 15 자로 임의의 암호의 최소 길이 설정합니다.
/maxpass 임의의 암호의 최대 길이 256 자로 설정합니다.
/암호화 {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} 키 파일에서 생성 되는 키를 지정 합니다.
  • DES-CBC-CRC - Used for compatibility.
  • DES-CBC-MD5 - Adheres more closely to the MIT implementation and is used for compatibility.
  • RC4-HMAC-NT - Employs 128-bit encryption.
  • AES256-SHA1 - Employs AES256-CTS-HMAC-SHA1-96 encryption.
  • AES128-SHA1 - Employs AES128-CTS-HMAC-SHA1-96 encryption.
  • All - States that all supported cryptographic types can be used.

Note: Because the default settings are based on older MIT versions, you should always use the /crypto parameter.
/itercount AES 암호화에 사용 되는 반복 횟수를 지정 합니다. The default ignores itercount for non-AES encryption and sets AES encryption to 4,096.
/p타입 {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} 보안 주체 유형을 지정합니다.
  • KRB5_NT_PRINCIPAL - The general principal type (recommended).
  • KRB5_NT_SRV_INST - The user service instance
  • KRB5_NT_SRV_HST - The host service instance
/kvno <keyversionnum> 키 버전 번호를 지정합니다. 기본값은 1입니다.
/대답 {-|+} 배경 응답 모드를 설정합니다.
  • - Answers reset password prompts automatically with NO.
  • + Answers reset password prompts automatically with YES.
/target 도메인 컨트롤러를 사용 하도록 설정 합니다. 기본값은 검색, 보안 주체 이름을 기반으로 하는 도메인 컨트롤러입니다. 도메인 컨트롤러 이름이 확인되지 않으면 대화 상자에서 유효한 도메인 컨트롤러를 묻는 메시지가 표시됩니다.
/rawsalt 키를 생성할 때 rawsalt 알고리즘을 사용하도록 ktpass를 강제로 적용합니다. 이 매개 변수는 선택 사항입니다.
{-|+}dumpsalt 이 매개 변수는 출력 키를 생성 하는 데 사용 되는 MIT salt 알고리즘을 보여 줍니다.
{-|+}setupn 서비스 사용자 이름 (SPN) 외에도 사용자 보안 주체 이름 (UPN)을 설정합니다. 기본값은.keytab 파일에서 모두 설정 하는 것입니다.
{-|+}setpass <password> 제공 되는 경우 사용자의 암호를 설정 합니다. Rndpass 사용 되는 경우에 임의의 암호를 대신 생성 됩니다.
/? 이 명령에 대 한 도움말을 표시합니다.

Remarks

  • Windows 운영 체제를 실행하지 않는 시스템에서 실행되는 서비스를 AD DS의 서비스 인스턴스 계정으로 구성할 수 있습니다. 따라서 모든 Kerberos 클라이언트 Windows Kdc를 사용 하 여 Windows 운영 체제를 실행 하지 않는 서비스에 인증할 수 있습니다.

  • The /princ parameter isn't evaluated by ktpass and is used as provided. There's no check to see if the parameter matches the exact case of the userPrincipalName attribute value when generating the Keytab file. 이 Keytab 파일을 사용하는 대/소문자를 구분하는 Kerberos 배포는 대/소문자가 정확히 일치하지 않을 경우 문제가 발생할 수 있으며 사전 인증 시 실패할 수도 있습니다. To check and retrieve the correct userPrincipalName attribute value from a LDifDE export file. For example:

    ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname

Examples

Windows 운영 체제를 실행하지 않는 호스트 컴퓨터에 대해 Kerberos .keytab 파일을 만들려면 보안 주체를 계정에 매핑하고 호스트 보안 주체 암호를 설정해야 합니다.

  1. Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 Windows 운영 체제를 실행하지 않는 컴퓨터에 서비스용 사용자 계정을 만듭니다. For example, create an account with the name User1.

  2. Use the ktpass command to set up an identity mapping for the user account by typing:

    ktpass /princ host/User1.contoso.com@CONTOSO.COM /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set

    Note

    동일한 사용자 계정에 여러 서비스 인스턴스를 매핑할 수 없습니다.

  3. Merge the .keytab file with the /Etc/Krb5.keytab file on a host computer that isn't running the Windows operating system.