Самое подробное руководство по использованию утилиты ktpass в среде Active Directory
gotch 15 минут назад Самое подробное руководство по использованию утилиты ktpass в среде Active Directory Уровень сложности Средний Время на прочтение 15 мин Охват и читатели 505 Windows * Настройка Linux * Системное...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. gotch 15 минут назад Самое подробное руководство по использованию утилиты ktpass в среде Active Directory Уровень сложности Средний Время на прочтение 15 мин Охват и читатели 505 Windows * Настройка Linux * Системное администрирование * Серверное администрирование * Туториал Давайте разберем как с помощью утилиты ktpass. exe создавать гарантированно рабочие файлы keytab . Подробно, с примерами рассмотрим каждый параметр ktpass.
А самое интересное - вы узнаете неочевидные факты о принципах использовании salt при генерации ключей Kerberos, из-за которой получаются нерабочие ключи AES. Об этом нам расскажет инспекция базы ntds. dit командлетами DSInternals.
Технические детали
Разбор формата файла key table (keytab) Сначала разберемся с форматом файла keytab . Это файл используется в open source реализациях Kerberos для хранения ключей шифрования. Ключи хранятся в открытом виде и используются для шифрования Kerberos.
Ключ является производным от пароля учетной записи. Упрощенно таблица выглядит следующим образом: principal KVNO enctype key length key contents key version HTTP/myproxy. test 4 aes128-cts-hmac-sha1-96) 0xff8ecfc8b1e112e619257d8675bfab21 Получить таблицу ключей в читаемом представлении можно утилитой klist -kteK В Windows для этого понадобится пакет MIT Kerberos .
Если у учётной записи есть необходимые SPN, то зная пароль и текущий KVNO можно создать корректный keytab не обращаясь к Active Directory. А сама утилита ktpass. exe умеет вносить в AD только пароль учетной записи, SPN, UPN.
Отраслевые последствия
Разбор параметров утилиты ktpass. exe Теперь детально разберем каждый параметр утилиты ktpass out : Keytab to produce -out c:\temp\svc-proxy01. keytab Имя выходного файла keytab.
princ : Principal name (user@REALM) -princ HTTP/proxy01. TEST Как правило, в этом поле указывают Service Principal Name (SPN), имеющий формат / @ pass : password to use, use '*' to prompt for password -pass * Пароль будет запрошен интерактивно при запуске утилиты. -pass ABCDF@password -pass "ABCDF@password" Пароль учетной записи, из которого будет рассчитан ключ.
Равнозначные конструкции, кавычки не будут включены в пароль. -pass 'ABCDF@password' Неправильный вариант, кавычки будут включены в пароль. Если использовать параметр -pass вместе с -setpass , пароль будет использован для расчета ключа, но не будет записан в AD.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
