#iis-8 #windows-server-2012-r2 #powershell-remoting #credssp
#iis-8 #windows-server-2012-r2 #powershell -удаленное подключение #credssp
Вопрос:
При настройке проверки подлинности веб-доступа PowerShell по умолчанию в качестве типа проверки подлинности используется «По умолчанию». Я настроил CredSSP, и он отлично работает для сетевой аутентификации. Однако я хочу, чтобы CredSSP был режимом аутентификации по умолчанию, а не «По умолчанию». Я глубоко изучил конфигурацию для PSWA web в IIS, я вижу там несколько доступных значений, которые переопределяют значения по умолчанию. Для defaultAuthentcationType установлено значение 0, что является правильными настройками. На веб-странице я вижу, что поле выбора имеет следующие параметры
0 Default
1 Basic
2 Negotiate
4 CredSSP
5 Digest
6 Kerberos
3 is missing
в списке. Мои исследования подтвердили, что 3 является NegotiateWithImplicitCredential, который отсутствует в моем PowerShell 5.1.15063.966. Поэтому, когда я устанавливаю defaultAuthenticationType на число, веб-страница по умолчанию использует новый параметр: 7 Admin Specified
Когда я пробовал 3 и 4, ни один из них не работал с CredSSP. Это просто Kerberos, который я продолжаю получать, даже когда я устанавливаю defaultAuthenticationType в CredSSP, параметр администратора не появляется, и он снова возвращается к умолчанию.
Любой, у кого есть подобный опыт, должен, пожалуйста, поделиться тем, что я могу сделать, чтобы использовать CredSSP
Комментарии:
1. не могли бы вы рассказать, как вы меняете аутентификацию?
2. Я использую эту команду winrm, чтобы получить winrm / config / service
3. попробуйте выполнить команду
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST/Default Web Site/pswa' -filter "appSettings/add[@key='defaultAuthenticationType']" -name "value" -value "4"
Ответ №1:
Следуя вашему сценарию, попробуйте выполнить следующие несколько шагов
На вашем локальном компьютере
PS C:> Enable-WSManCredSSP -DelegateComputer [ComputerName] -Role Client
Далее необходимо включить серверную часть.
PS C:> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName [ComputerName]
Теперь, установив это, вы можете повторно установить удаленный сеанс, указав CredSSP и свои учетные данные.
PS C:> enter-pssession [ComputerName] -Authentication Credssp -Credential domainuser
Запустите эту команду авторизации, и она авторизует вас с помощью CredSSP
PS C:> Add-PswaAuthorizationRule -rulename "Rule01" -computername [computerName] -username domainuser -configuration microsoft.powershell
Используйте PS C:> Get-PswaAuthorizationRule
для проверки правила.