PowerShell Web Erişimi ile defaultAuthenticationType kullanma

14

PowerShell web erişimi, kimlik doğrulama türünü seçmenizi sağlar. Varsayılan olarak, bir değeri kullanır Defaultolmak biter, Negotiate. CredSSP'yi, CWSSP ile PSWA sunucusunda oturum açmaya izin verecek şekilde ayarladım, böylece ağ kimlik doğrulaması oturum içinden çalışır (tüm ağdaki kimlik bilgilerini devretmeden çift atlama sorununu önler).

Her neyse, CredSSP'nin oturum açma sayfasında varsayılan seçenek olmasını istiyorum.

IIS'deki PSWA web uygulaması için yapılandırma seçeneklerine bakıldığında, varsayılanları geçersiz kılmak için ayarlanabilecek birkaç değer vardır.

Bunlardan biri denir defaultAuthenticationType, stringancak a olarak ayarlanır 0.

Bu doğru bir ayar gibi görünüyor, ama işe yarayamıyorum.

Oturum açma web sayfasını incelersem, seçim kutusunun aşağıdaki değerlere sahip olduğunu görebilirim:

0   Default
1   Basic
2   Negotiate
4   CredSSP
5   Digest
6   Kerberos

3 kayıp.

JosefZ bulundu 3edilir NegotiateWithImplicitCredentialbu sayfaya göre , ancak Windows PowerShell 5.1.15063.966 benim için o ad / değer numaralama eksik.

defaultAuthenticationTypeBir sayıya ayarlarsam , web sayfası varsayılan olarak yeni bir seçenektir:

7   Admin Specified

Denedim 3ve 4ikisi de çalışmıyor. Giriş Kerberos kullanılarak yapılır ve CredSSP kullanılmaz.

CredSSP'yi manuel olarak seçersem beklendiği gibi çalışır.

defaultAuthentcationTypeGibi bir dizeye ayarlarsam CredSSP, hiçbir Admin Specifiedseçenek görünmez ve sadece varsayılan olarak Defaultyeniden ayarlanır ve yine Kerberos kimlik doğrulaması kullanılır.

Bunu başarıyla ayarlayan var mı? Web sonuçları çok eksik.

powershell  credssp 
briantist
kaynak
Ayrıca varsayılan olarak CredSSP seçeneğini belirlemek için logon.aspx sayfasını güncellediniz mi?
Persistent13
@ Persistent13 hayır Bu sayfaya dokunmadım. Sanırım bu işe yarayacaktır ve ben buna başvurabilirim, ama açıkça bir hack. Desteklenen ve tekrarlanabilir bir şey istedim. Aslında yükleme ve neredeyse tamamen DSC üzerinden yapılandırma ve ben bu değeri değiştirmek için ıvır zıvır komut dosyası kaynakları yazmak istemiyorum logon.aspx. Kesinlikle iyi bir öneri olsa.
briantist
DSC için, kendi kaynağınızı yazmanızı veya daha fazla yinelenebilir olduğu için Get-Content, -replace ve Set-Content birleşimini kullanarak logon.aspx dosyasını güncellemek için komut dosyası kaynağını kullanmanızı öneririm.
Persistent13
@ Persistent13 evet, yapılabilir. Ben sadece niyet bu yapılandırmada bu değeri değiştirmeyi desteklemek olduğunu açık olduğunu düşünüyorum, sadece çalışmıyor ve bir kaynak yazmak için bu ağır teslim; benim amacım için.
briantist
1
[System.Management.Automation.Runspaces.AuthenticationMechanism]:: NegotiateWithImplicitCredential -as [int]AuthenticationMechanismenum
JosefZ

Yanıtlar:

0

bu kılavuzu takip etmeyi deneyin, sizi gitmek istediğiniz yere götürmelidir. https://www.petri.com/powershell-web-access-configuration

here is the section you want. 
PowerShell
1
Add-PswaAuthorizationRule : This command must be run by a user account with permissions to perform Active Directory queries.
If you run the command in an interactive (i.e. not via remoting) session on the server it should work just fine. The problem here is the second hop. The Add-PSwaAuthorizationRule cmdlet needs to make a connection to a domain controller, which by security design is not allowed in PowerShell Remoting. This second-hop limitation can be overcome by enabling CredSSP authentication. Note: This is not be done lightly as there are security ramifications, so research this fully before employing.

But in my situation, since I want to use remoting, Ill exit out of the remote session and enable CredSSP on my desktop for CHI-WEB01.

PowerShell
1
PS C:\> Enable-WSManCredSSP -DelegateComputer chi-web01 -Role Client
Next, I need to enable the server side.

PowerShell
1
PS C:\> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName chi-web01
With this in place, I can now re-establish my remote session specifying CredSSP and my credentials.

PowerShell
1
PS C:\> enter-pssession chi-web01 -Authentication Credssp -Credential globomantics\jeff
Now when I run the authorization command, it works as you can see below in Figure 3.
Joshua Coons
kaynak
Merhaba Joshua, Cevabınızı takdir ediyorum ama maalesef bu soruya cevap vermiyor. Zaten CredSSP kurmuştum, sorun PSWA'nın web arayüzündeki varsayılan kimlik doğrulama seçeneğini değiştiriyor. Yaptığım her şey teknik olarak çalışıyordu, niyet her zaman CredSSP kullanmak olduğunda her girişte CredSSP'yi manuel olarak seçmek zorunda kaldı. Ve PSWA'nın bu şeyi kontrol etmek için bir ayarı var gibi görünüyor, ancak çalışmıyor.
Briantist
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.