การใช้ defaultAuthenticationType กับ PowerShell Web Access

14

การเข้าถึงเว็บ PowerShell ให้คุณเลือกประเภทการตรวจสอบความถูกต้อง โดยค่าเริ่มต้นจะใช้ค่าซึ่งสิ้นสุดขึ้นเป็นDefault Negotiateฉันได้ตั้งค่า CredSSP เพื่ออนุญาตให้เข้าสู่เซิร์ฟเวอร์ PSWA ด้วย CredSSP เพื่อให้การรับรองความถูกต้องเครือข่ายทำงานจากภายในเซสชัน (หลีกเลี่ยงปัญหาการฟ้อนรำสองครั้ง

อย่างไรก็ตามฉันต้องการให้ CredSSP เป็นตัวเลือกเริ่มต้นในหน้าลงชื่อเข้าใช้

ค้นหาตัวเลือกการกำหนดค่าสำหรับแอปพลิเคชันเว็บ PSWA ใน IIS มีหลายค่าที่สามารถตั้งค่าให้แทนที่ค่าเริ่มต้นได้

หนึ่งในนั้นคือเรียกว่าdefaultAuthenticationTypeซึ่งเป็นแต่มีการตั้งค่าstring0

ดูเหมือนว่าการตั้งค่าที่ถูกต้อง แต่ฉันไม่สามารถใช้งานได้

หากฉันตรวจสอบหน้าเว็บลงชื่อเข้าใช้ฉันจะเห็นว่ากล่องเลือกมีค่าต่อไปนี้:

0   Default
1   Basic
2   Negotiate
4   CredSSP
5   Digest
6   Kerberos

3 ที่ขาดหายไป.

JosefZพบว่า3เป็นNegotiateWithImplicitCredentialไปตามหน้านี้แต่ใน Windows PowerShell 5.1.15063.966 สำหรับฉันว่าชื่อ / ค่าหายไปจาก enum

หากฉันตั้งค่าdefaultAuthenticationTypeเป็นตัวเลขหน้าเว็บจะตั้งค่าเริ่มต้นเป็นตัวเลือกใหม่:

7   Admin Specified

ฉันได้พยายาม3และ4แต่ไม่หนึ่งผลงาน การล็อกอินเกิดขึ้นโดยใช้ Kerberos และไม่ใช้ CredSSP

หากฉันเลือก CredSSP ด้วยตนเองก็จะทำงานตามที่คาดไว้

หากฉันตั้งค่าdefaultAuthentcationTypeเป็นสตริงเหมือนจะCredSSPไม่มีAdmin Specifiedตัวเลือกปรากฏขึ้นและเป็นเพียงค่าเริ่มต้นDefaultอีกครั้งและยังคงใช้การตรวจสอบสิทธิ์ของ Kerberos

มีใครสามารถตั้งค่าสิ่งนี้ได้สำเร็จหรือไม่? ผลลัพธ์จากเว็บขาดมาก

powershell  credssp 
briantist
แหล่งที่มา
คุณได้อัปเดตหน้า logon.aspx เพื่อเลือกตัวเลือก CredSSP ตามค่าเริ่มต้นหรือไม่
ถาวร
@ Persistent13 ไม่ฉันไม่ได้แตะหน้านั้น ฉันคิดว่ามันจะใช้งานได้และฉันอาจหันไปใช้มัน แต่มันก็เป็นการแฮ็คอย่างชัดเจน ฉันต้องการบางสิ่งที่สนับสนุนและทำซ้ำได้ ฉันกำลังติดตั้งและกำหนดค่าเกือบทั้งหมดผ่าน DSC และฉันไม่ต้องการเขียนทรัพยากรสคริปต์ janky เพื่อเปลี่ยนค่าlogon.aspxนั้น มันเป็นคำแนะนำที่ดีอย่างแน่นอน
ต้มตุ๋น
สำหรับ DSC ฉันขอแนะนำให้เขียนทรัพยากรของคุณเองหรือใช้ทรัพยากรสคริปต์เพื่ออัปเดต logon.aspx โดยใช้การรวมของ Get-Content, -replace และ Set-Content เพราะจะทำซ้ำได้มากกว่า
ถาวร
@ Persistent13 ใช่มันเป็นไปได้ ฉันแค่คิดว่ามันชัดเจนว่าเจตนาคือการสนับสนุนการเปลี่ยนแปลงค่านี้ในการกำหนดค่ามันไม่ทำงานและการเขียนทรัพยากรเป็นเรื่องที่หนักหน่วงสำหรับเรื่องนี้ สำหรับวัตถุประสงค์ของฉันอยู่แล้ว
ต้มตุ๋น
1
[System.Management.Automation.Runspaces.AuthenticationMechanism]:: NegotiateWithImplicitCredential -as [int]ดู AuthenticationMechanismenum
JosefZ

คำตอบ:

0

ลองทำตามคำแนะนำนี้มันจะพาคุณไปยังที่ที่คุณต้องการ https://www.petri.com/powershell-web-access-configuration

here is the section you want. 
PowerShell
1
Add-PswaAuthorizationRule : This command must be run by a user account with permissions to perform Active Directory queries.
If you run the command in an interactive (i.e. not via remoting) session on the server it should work just fine. The problem here is the second hop. The Add-PSwaAuthorizationRule cmdlet needs to make a connection to a domain controller, which by security design is not allowed in PowerShell Remoting. This second-hop limitation can be overcome by enabling CredSSP authentication. Note: This is not be done lightly as there are security ramifications, so research this fully before employing.

But in my situation, since I want to use remoting, Ill exit out of the remote session and enable CredSSP on my desktop for CHI-WEB01.

PowerShell
1
PS C:\> Enable-WSManCredSSP -DelegateComputer chi-web01 -Role Client
Next, I need to enable the server side.

PowerShell
1
PS C:\> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName chi-web01
With this in place, I can now re-establish my remote session specifying CredSSP and my credentials.

PowerShell
1
PS C:\> enter-pssession chi-web01 -Authentication Credssp -Credential globomantics\jeff
Now when I run the authorization command, it works as you can see below in Figure 3.
Joshua Coons
แหล่งที่มา
สวัสดีโจชัวฉันขอขอบคุณคำตอบของคุณ แต่น่าเสียดายที่นี่ไม่ได้ตอบคำถาม ฉันตั้งค่า CredSSP เรียบร้อยแล้วปัญหากำลังเปลี่ยนตัวเลือกการรับรองความถูกต้องเริ่มต้นในเว็บอินเตอร์เฟสของ PSWA ทุกสิ่งที่ฉันทำคือการใช้งานทางเทคนิคมันเป็นเพียงความเจ็บปวดที่ต้องเลือก CredSSP ด้วยตนเองในการเข้าสู่ระบบทุกครั้งเมื่อมีเจตนาที่จะใช้ CredSSP เสมอ และ PSWA ดูเหมือนจะมีการตั้งค่าเพื่อควบคุมสิ่งนี้ แต่มันไม่ทำงาน
นักเทศน์
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.