Przejdź do głównej zawartości
Komendy

ktpass

Komenda ktpass służy do tworzenia i zarządzania mapowaniami kont użytkowników w domenie Active Directory dla usług korzystających z uwierzytelniania Kerberos. Pozwala tworzyć pliki kluczy (keytab) wykorzystywane przez aplikacje i serwery w środowiskach z Kerberos, takich jak serwery Linux, aplikacje webowe czy systemy międzyplatformowe.

Składnia

Dział zatytułowany „Składnia”
ktpass [/out plik_keytab] [/princ principal] [/mapuser użytkownik] [/pass hasło] [/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST}] [/crypto typ_szyfrowania] [/setpass] [/rndpass] [/mapop {set|add}]
  • Umożliwia utworzenie pliku keytab lub skonfigurowanie mapowania użytkownika domeny dla usług Kerberos.
  • Może ustawić nowe hasło lub wygenerować losowe hasło dla konta serwisowego.

Parametry

Dział zatytułowany „Parametry”
ParametrOpis
/out plik_keytabOkreśla ścieżkę, w której zostanie zapisany plik keytab zawierający dane Kerberos.
/princ principalOkreśla nazwę główną Kerberos (np. HTTP/nazwa.domena.local@DOMENA.LOCAL).
/mapuser użytkownikWskazuje konto użytkownika lub usługi w Active Directory, które zostanie powiązane z podanym principalem Kerberos.
/pass hasłoUstawia lub aktualizuje hasło dla wskazanego konta usługi.
`/ptype {KRB5_NT_PRINCIPALKRB5_NT_SRV_INST}`Określa typ principal (główny lub serwisowy).
/crypto typ_szyfrowaniaWybiera algorytm szyfrowania, np. RC4-HMAC-NT, AES256-SHA1.
/setpassUstawia podane hasło na koncie użytkownika.
/rndpassGeneruje losowe hasło dla konta usługi i zapisuje je w pliku keytab.
`/mapop {setadd}`Określa, czy powiązanie principal ma zostać nadpisane (set) czy dodane (add).

Przykłady użycia

Dział zatytułowany „Przykłady użycia”
Okno terminala
# Utworzenie pliku keytab dla usługi HTTP z podanym hasłem
ktpass /out C:\keytabs\http.keytab /princ HTTP/web.domena.local@DOMENA.LOCAL /mapuser svc_http /pass Haslo123 /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /setpass


# Utworzenie pliku keytab z losowym hasłem
ktpass /out C:\keytabs\ldap.keytab /princ LDAP/ldap.domena.local@DOMENA.LOCAL /mapuser svc_ldap /rndpass /ptype KRB5_NT_SRV_INST /crypto RC4-HMAC-NT

Uwagi

Dział zatytułowany „Uwagi”
  • ktpass wymaga uruchomienia wiersza poleceń z uprawnieniami administratora domeny.
  • Tworzone pliki keytab powinny być odpowiednio zabezpieczone, ponieważ zawierają dane uwierzytelniające.
  • Komenda jest używana głównie przy integracji serwerów nie-Windows z Active Directory lub przy konfiguracji aplikacji korzystających z Kerberos.

Najczęściej spotykane błędy i jak je naprawić

Dział zatytułowany „Najczęściej spotykane błędy i jak je naprawić”
Błąd / KomunikatPrzyczynaRozwiązanie
Access is deniedBrak uprawnień administratora domenyUruchom CMD jako administrator z odpowiednimi uprawnieniami.
Key version number mismatchKonflikt numeru wersji klucza w AD i pliku keytabZresetuj hasło konta i ponownie wygeneruj plik keytab.
KDC not reachableBrak połączenia z serwerem domeny Kerberos (KDC)Sprawdź połączenie sieciowe, ustawienia DNS i stan kontrolera domeny.