ktpass

Применимо к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Настраивает имя субъекта-сервера для узла или службы в службах домен Active Directory (AD DS) и создает файл keytab, содержащий общий секретный ключ службы. Файл keytab основан на реализации протокола проверки подлинности Kerberos в Массачусетском институте технологий (MIT). Средство командной строки ktpass позволяет службам, не поддерживающим проверку подлинности Kerberos, использовать функции взаимодействия, предоставляемые службой Центра распространения ключей Kerberos (KDC).

Syntax

ktpass
[/out <filename>]
[/princ <principalname>]
[/mapuser <useraccount>]
[/mapop {add|set}] [{-|+}desonly] [/in <filename>]
[/pass {password|*|{-|+}rndpass}]
[/minpass]
[/maxpass]
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]
[/itercount]
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]
[/kvno <keyversionnum>]
[/answer {-|+}]
[/target]
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <password>]  [/?|/h|/help]

Parameters

Parameter	Description
/вне `<filename>`	Указывает имя создаваемого файла Kerberos версии 5 .keytab. Заметка: Это файл .keytab, который вы переносите на компьютер, который не работает под управлением операционной системы Windows, а затем заменяете или объединяете с существующим файлом .keytab, /Etc/Krb5.keytab.
/принк `<principalname>`	Указывает имя субъекта в узле формы/[email protected]. Предупреждение: Этот параметр чувствителен к регистру.
/mapuser `<useraccount>`	Сопоставляет имя участника Kerberos, указанное параметром princ , с указанной учетной записью домена.
/мапоп `{add\|set}`	Указывает, как задан атрибут сопоставления. Добавить — добавляет значение указанного локального имени пользователя. Это значение по умолчанию. Set — задает значение шифрования только в соответствии со стандартом шифрования данных (DES) для указанного локального имени пользователя.
`{-\|+}`desonly	Шифрование только для DES устанавливается по умолчанию. + Задает учетную запись для шифрования только для DES. - Освобождает ограничение учетной записи для шифрования только для DES. Важный: Windows не поддерживает DES по умолчанию.
/в `<filename>`	Указывает файл .keytab для чтения с хост-компьютера, который не работает под управлением операционной системы Windows.
/проходить `{password\|*\|{-\|+}rndpass}`	Указывает пароль для имени пользователя участника, которое указывается параметром princ . Используйте для `*` запроса пароля.
/minpass	Задает минимальную длину случайного пароля 15 символов.
/maxpass	Задает максимальную длину случайного пароля 256 символов.
/крипто `{DES-CBC-CRC\|DES-CBC-MD5\|RC4-HMAC-NT\|AES256-SHA1\|AES128-SHA1\|All}`	Указывает ключи, созданные в файле keytab: DES-CBC-CRC - Используется для совместимости. DES-CBC-MD5 - более тесно связан с реализацией MIT и используется для обеспечения совместимости. RC4-HMAC-NT - Использует 128-битное шифрование. AES256-SHA1 — использует шифрование AES256-CTS-HMAC-SHA1-96. AES128-SHA1 - использует шифрование AES128-CTS-HMAC-SHA1-96. All — указывает, что могут использоваться все поддерживаемые типы шифрования. Заметка: Поскольку настройки по умолчанию основаны на более старых версиях MIT, всегда следует использовать этот `/crypto` параметр.
/itercount	Указывает число итерации, используемое для шифрования AES. По умолчанию счетчик итераций игнорируется для шифрования, отличного от AES, и задает для шифрования AES значение 4 096.
/pтип `{KRB5_NT_PRINCIPAL\|KRB5_NT_SRV_INST\|KRB5_NT_SRV_HST}`	Указывает тип субъекта. KRB5_NT_PRINCIPAL - Общий тип участника (рекомендуется). KRB5_NT_SRV_INST — экземпляр пользовательской службы KRB5_NT_SRV_HST — экземпляр службы узла сети
/квно `<keyversionnum>`	Указывает номер версии ключа. Значение по умолчанию равно 1.
/ответ `{-\|+}`	Задает режим фонового ответа: -Ответы автоматически сбрасывают пароль с помощью NO. +Ответы автоматически сбрасывают пароль с помощью команды YES.
/target	Задает используемый контроллер домена. Значение по умолчанию предназначено для обнаружения контроллера домена на основе имени субъекта. Если имя контроллера домена не разрешено, диалоговое окно запросит допустимый контроллер домена.
/rawsalt	заставляет ktpass использовать необработанный алгоритм при создании ключа. Это необязательный параметр.
`{-\|+}dumpsalt`	Выходные данные этого параметра показывают алгоритм соли MIT, используемый для создания ключа.
`{-\|+}setupn`	Задает имя субъекта-пользователя (UPN) в дополнение к имени субъекта-службы (SPN). Значение по умолчанию — задать оба значения в файле KEYTAB.
`{-\|+}setpass <password>`	Задает пароль пользователя при указании. Если используется rndpass, вместо этого создается случайный пароль.
/?	Отображает справку для этой команды.

Remarks

Службы, работающие в системах, не работающих под управлением операционной системы Windows, можно настроить с учетными записями экземпляра службы в AD DS. Это позволяет любому клиенту Kerberos проходить проверку подлинности в службах, которые не работают под управлением операционной системы Windows с помощью KDCs Windows.
Параметр /princ не вычисляется ktpass и используется как указано. При создании файла Keytab проверка точности совпадения параметра со значением атрибута userPrincipalName не требуется. Дистрибутивы Kerberos с учетом регистра, использующие этот файл Keytab, могут иметь проблемы, если нет точного совпадения регистра, и даже может завершиться ошибкой во время предварительной проверки подлинности. Чтобы проверить и получить правильное значение атрибута userPrincipalName из файла экспорта LDifDE. For example:
```
ldifde /f keytab_user.ldf /d CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com /p base /l samaccountname,userprincipalname
```

Examples

Чтобы создать файл Kerberos .keytab для хост-компьютера, не работающего под управлением операционной системы Windows, необходимо сопоставить субъекта с учетной записью и задать пароль субъекта-узла.

Используйте оснастку "Пользователь Active Directory " и "Компьютеры ", чтобы создать учетную запись пользователя для службы на компьютере, который не работает под управлением операционной системы Windows. Например, создайте учетную запись с именем User1.
Используйте команду ktpass , чтобы настроить сопоставление идентификаторов для учетной записи пользователя, введя:
```
ktpass /princ host/[email protected] /mapuser User1 /pass MyPas$w0rd /out machine.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set
```
Note

Невозможно сопоставить несколько экземпляров службы с одной учетной записью пользователя.
Объедините файл .keytab с файлом /Etc/Krb5.keytab на главном компьютере, который не работает под управлением операционной системы Windows.

Условные обозначения синтаксиса команд командной строки

Обратная связь

Была ли эта страница полезна?

Last updated on 2025-08-16