Sử dụng defaultAuthenticationType với PowerShell Web Access


14

Truy cập web PowerShell cho phép bạn chọn loại xác thực. Theo mặc định, nó sử dụng một giá trị Default, cuối cùng là Negotiate. Tôi đã thiết lập CredSSP để cho phép đăng nhập vào máy chủ PSWA bằng CredSSP, để xác thực mạng hoạt động từ trong phiên (tránh sự cố nhảy kép, mà không ủy quyền thông tin đăng nhập trên toàn mạng).

Dù sao, tôi muốn CredSSP là tùy chọn mặc định trên trang đăng nhập.

Nhìn vào các tùy chọn cấu hình cho ứng dụng web PSWA trong IIS, có một số giá trị có thể được đặt để ghi đè mặc định.

Một trong số chúng được gọi defaultAuthenticationTypelà một stringnhưng được đặt thành 0.

Đây có vẻ là cài đặt phù hợp, nhưng tôi không thể làm cho nó hoạt động.

Nếu tôi kiểm tra đăng nhập trang web, tôi có thể thấy rằng hộp chọn có các giá trị sau:

0   Default
1   Basic
2   Negotiate
4   CredSSP
5   Digest
6   Kerberos

3 mất tích

JosefZ thấy rằng đó 3NegotiateWithImplicitCredentialtheo trang này , nhưng trên Windows PowerShell 5.1.15063.966 đối với tôi rằng tên / giá trị bị thiếu trong enum.

Nếu tôi đặt defaultAuthenticationTypethành một số, thì trang web sẽ mặc định là một tùy chọn mới:

7   Admin Specified

Tôi đã thử 34, nhưng không ai làm việc. Việc đăng nhập xảy ra bằng Kerberos và CredSSP không được sử dụng.

Nếu tôi chọn CredSSP bằng tay, nó hoạt động như mong đợi.

Nếu tôi đặt defaultAuthentcationTypethành một chuỗi như thế CredSSP, không có Admin Specifiedtùy chọn nào xuất hiện và nó chỉ mặc định Defaulttrở lại và xác thực Kerberos vẫn được sử dụng.

Có ai có thể thiết lập thành công này? Kết quả web đã rất thiếu.


Bạn cũng đã cập nhật trang logon.aspx để chọn tùy chọn CredSSP theo mặc định?
Kiên

@ Persistent13 không tôi không chạm vào trang đó. Tôi cho rằng nó sẽ hoạt động, và tôi có thể dùng đến nó, nhưng rõ ràng đó là một vụ hack. Tôi muốn một cái gì đó được hỗ trợ và lặp lại. Tôi thực sự đang cài đặt và định cấu hình điều này gần như hoàn toàn thông qua DSC và tôi không muốn phải viết tài nguyên kịch bản janky để thay đổi giá trị đó logon.aspx. Đó là một gợi ý tốt cho chắc chắn mặc dù.
briantist

Đối với DSC, tôi khuyên bạn nên viết tài nguyên của riêng bạn hoặc sử dụng tài nguyên tập lệnh để cập nhật logon.aspx bằng cách sử dụng kết hợp Get-Content, -replace và Set-Content vì nó sẽ dễ lặp lại hơn.
Kiên

@ Persistent13 yeah, nó có thể thực hiện được. Tôi chỉ nghĩ rõ ràng rằng mục đích của nó là hỗ trợ thay đổi giá trị này trong cấu hình, nó chỉ không hoạt động và việc viết một tài nguyên là rất nặng nề cho việc này; cho mục đích của tôi nào
nghĩa tự do

1
[System.Management.Automation.Runspaces.AuthenticationMechanism]:: NegotiateWithImplicitCredential -as [int]xem AuthenticationMechanismenum
JosefZ

Câu trả lời:


0

Hãy thử làm theo hướng dẫn này nó sẽ đưa bạn đến nơi bạn muốn. https://www.petri.com/powershell-web-access-configuration

here is the section you want. 
PowerShell
1
Add-PswaAuthorizationRule : This command must be run by a user account with permissions to perform Active Directory queries.
If you run the command in an interactive (i.e. not via remoting) session on the server it should work just fine. The problem here is the second hop. The Add-PSwaAuthorizationRule cmdlet needs to make a connection to a domain controller, which by security design is not allowed in PowerShell Remoting. This second-hop limitation can be overcome by enabling CredSSP authentication. Note: This is not be done lightly as there are security ramifications, so research this fully before employing.

But in my situation, since I want to use remoting, Ill exit out of the remote session and enable CredSSP on my desktop for CHI-WEB01.

PowerShell
1
PS C:\> Enable-WSManCredSSP -DelegateComputer chi-web01 -Role Client
Next, I need to enable the server side.

PowerShell
1
PS C:\> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName chi-web01
With this in place, I can now re-establish my remote session specifying CredSSP and my credentials.

PowerShell
1
PS C:\> enter-pssession chi-web01 -Authentication Credssp -Credential globomantics\jeff
Now when I run the authorization command, it works as you can see below in Figure 3.

Xin chào Joshua, tôi đánh giá cao câu trả lời của bạn nhưng thật không may, điều này không trả lời câu hỏi. Tôi đã thiết lập CredSSP, vấn đề là ở chỗ thay đổi tùy chọn xác thực mặc định trong giao diện web của PSWA. Tất cả mọi thứ tôi đã làm là về mặt kỹ thuật, thật khó khăn khi phải chọn CredSSP theo cách thủ công trên mỗi lần đăng nhập khi mục đích là luôn luôn sử dụng CredSSP. Và PSWA dường như có một cài đặt để kiểm soát chính điều này, nhưng nó không hoạt động.
briantist
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.