Introdução ao utilitário adutil – Active Directory

Aplica-se a:SQL Server no Linux

A ferramenta adutil é um utilitário de CLI (interface de linha de comando) para configurar e gerenciar domínios Windows Active Directory para SQL Server em Linux e contêineres. Elimina a necessidade de alternar entre computadores Windows e Linux para gerenciar Active Directory.

Observação

O suporte para adutil é limitado apenas a casos de uso SQL Server. Você também pode usar outros utilitários, como ktpass para habilitar a autenticação Active Directory, conforme explicado em Tutorial: usar a autenticação Active Directory com SQL Server em Linux.

Antes de começar, baixe adutil para um host que já está ingressado em um domínio do Active Directory.

A adutil ferramenta foi projetada como uma série de comandos e subcomandos, com sinalizadores extras que você especifica como entrada adicional. Cada comando de nível superior representa uma categoria de funções administrativas. Dentro dessa categoria, cada subcomando é uma operação. Este artigo mostra como baixar e começar a usar adutil.

Configurar adutil para LDAP em SSL (Secure Sockets Layer)

Você deve usar o protocolo LDAPS (Lightweight Directory Access Protocol sobre SSL) em vez do LDAP (Lightweight Directory Access Protocol). Para obter mais informações sobre lDAP, consulte LDAP (Lightweight Directory Access Protocol).

Você pode definir a opção useLdaps para true no arquivo de configuração adutil.json. Quando você executa adutil sob o mssql usuário, o arquivo de configuração está localizado em /var/opt/mssql/.adutil/adutil.json. Este exemplo de código JSON mostra como definir a configuração:

{
    "useLdaps": "true"
}

Por padrão, useLdaps é false. Ao definir essa configuração e usar mssql-conf para criar o keytab (tabela de chaves), certifique-se de executar mssql-conf como usuário mssql. Execute o seguinte comando para alternar para o usuário mssql:

sudo su mssql

Para configurar o keytab usando mssql-conf, consulte Criar o arquivo de keytab de serviço SQL Server usando mssql-conf.

Instalar o adutil

Se você não aceitar o EULA (contrato de licença do usuário final) durante a instalação, quando executar o adutil comando pela primeira vez, deverá executá-lo com o --accept-eula sinalizador (para todas as distribuições).

  1. Baixe o arquivo de configuração do repositório Microsoft Red Hat.

    RHEL 10

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/10/prod.repo

    RHEL 9

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/9/prod.repo

    RHEL 8

    sudo curl -o /etc/yum.repos.d/msprod.repo https://packages.microsoft.com/config/rhel/8/prod.repo

  2. Se você instalou uma versão de prévia do adutil, remova todos os pacotes mais antigos adutil usando o comando a seguir.

    sudo yum remove adutil-preview

  3. Para instalar adutil, execute o comando a seguir. ACCEPT_EULA=Y aceita o EULA para adutil. O EULA está localizado em /usr/share/adutil/.

    sudo ACCEPT_EULA=Y yum install -y adutil

Usar adutil para gerenciar Windows Active Directory

Para usar adutil, você precisa obter ou renovar o TGT Kerberos (ticket de concessão de tickets) usando o comando kinit e uma conta de domínio com privilégios. A conta usada deve ter permissão para criar contas e SPNs (nomes da entidade de serviço) no domínio.

Os exemplos a seguir mostram algumas atividades típicas que você pode executar usando adutil. Para ver uma lista dos comandos de nível superior, digite adutil --help.

adutil --help

Você verá esta saída:

adutil - A general AD utility
  Usage:
    adutil [account|delegation|group|keytab|machine|ou|spn|user|config]
  Subcommands:
    account      Functions for generic account operations
    delegation   Functions for configuring delegation permissions
    group        Functions for group management
    keytab       Functions for keytab management
    machine      Functions for managing machine accounts
    ou           Functions for managing organizational units
    spn          Functions for service principal name (SPN) management
    user         Functions for user account management
    config       Functions for modifying adutil configuration
  Flags:
       --version       Displays the program version string.
    -h --help          Displays help with available flag, subcommand, and positional value parameters.
    -d --debug         Display additional debugging information when making LDAP/Kerberos calls.
       --accept-eula   Accepts the current EULA for adutil. This has no effect if the EULA has already been accepted.

Para obter ajuda com comandos de nível inferior, use os seguintes exemplos:

  • spn comando:

    adutil spn --help

  • spn search comando:

    adutil spn search --help

Exemplos

Cada comando foi documentado para que você possa começar imediatamente. Aqui estão algumas das atividades típicas para as quais adutil é usado ao configurar ou administrar Active Directory autenticação para SQL Server em Linux e contêineres:

  • Crie uma conta no Active Directory:

    adutil user create --name sqluser --distname CN=sqluser,CN=Users,DC=CONTOSO,DC=COM

  • Criar SPNs associados a uma conta ou serviço:

    adutil spn addauto -n sqluser -s MSSQLSvc -H mymachine.contoso.com -p 1433

  • Criar keytabs usando adutil:

    adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mymachine.contoso.com --password '<password>' -s MSSQLSvc

    Cuidado

    Sua senha deve seguir a política padrão password SQL Server. Por padrão, a senha precisa ter pelo menos oito caracteres e conter caracteres de três dos seguintes quatro conjuntos: letras maiúsculas, letras minúsculas, dígitos de base 10 e símbolos. As senhas podem ter até 128 caracteres. Use senhas longas e complexas.

Para obter mais informações, consulte a adutil página manual de referência usando man adutil.

Conteúdo relacionado

  • Last updated on