在本文中中将会介绍如何使用CredSSP解决PowerShell远程管理中多跳(Multi-hop)授权的问题。本质上来讲,CredSSP和多跳支持本身并不是PowerShell 2.0或PowerShell远程管理的特性。凭据安全服务提供者(CredSSP,Credential Security Service Provider)是全新的安全服务提供者,用于将用户凭据委派到应用程序中,以实现从客户端到目标服务器的认证。Windows 远程管理(WinRM,Windows Remote Management)支持的多跳(Multi-hop)使用CredSSP实现认证。从PowerShell 2.0开始,远程管理是构建于WinRM的,所以可以使用CredSSP实现多跳授权。 1 多跳授权概述 首先来看一下什么是多跳授权,如下图1所示的三台主机,主机A(客户端Client)与主机B(服务器Server)之间通过通过远程线程建立连接,并通过主机B,常吃在文件服务器C上创建文件。
接下来在连接到主机B的远程线程上执行如下所示命令,在主机C上创建文件test.txt,执行时的效果如下图2所示: Invoke-Command -ComputerName Test-PC.SP2010lab.com -credential SP2010LAB\Administrator -ScriptBlock {[System.IO.File]::Create(\\FileServer\Share\Test.txt)}
在上图中能够看到执行结果是“访问被拒绝(Access Denied)”,命令是从远程线程尝试访问文件共享时出错的,由于使用的是主机A访问主机B时使用的主机B的凭据,而不是主机B访问文件服务器主机C时使用的凭据。所以可以推测如果能有方法从客户端主机A传递或委派可访问文件服务器主机C的凭据就能成功创建目标文件,这就是为何称之为多跳授权以及PowerShell远程管理通过CredSSP实现多跳授权,下面就引入委派凭据的概念: 2 委派凭据 用于创建远程线程的cmdlet――Invoke-Command,Enter-PSSession和New-PSSession都有一个-Authentication参数用于将授权模式指定为CredSSP。而在使用这个参数之前,需要首先在参与多跳授权的多台主机上启用CredSSP,而在启用CredSSP之前需要指定角色――Client或者Server――当然Client是远程线程初始化的主机,也就是这里的主机A;Server是多跳授权触发的主机,相当于跳板,也就是这里的主机B。 PowerShell 2.0提供了如下的cmdlet用于管理CredSSP授权: 1. Enable-WSManCredSSP 2. Disable-WSManCredSSP 3. Get-WSManCredSSP 下面介绍如何启用WSManCredSSP并且指定Client/Server角色。首先启用主机A上的CredSSP: Enable-WSManCredSSP -Role Client -DelegateComputer "*.SP2010lab.com" 这里用Enable-WSManCredSSP cmdlet启用了CredSSP认证并且指定主机角色为Client,与此同时还是用-DelegateComputer参数指定从Client接受委派凭据的单台或多台服务器。上面的DelegateComputer参数接受通配符描述,指定所有在*.SP2010lab.com域中的主机都可作为接受委派凭据的主机,其中的*代表该网络域中所有主机,当然也可以只指定单台主机。 当Enable-WSManCredSSP cmdlet用于在-role参数指定的客户端上启用CredSSP。这个cmdlet主要执行了以下操作: 1. WS-Management设置<localhost|computername style="color: rgb(26, 26, 26); font-family: 'Microsoft YaHei', SimHei; line-height: 34px;">\Client\Auth\CredSSP被设置为true。 2. 在客户端上设置Windows CredSSP策略AllowFreshCredentials为WSMan/Delegate。 接下来在主机B上启用CredSSP,并将其角色设置为Server,具体操作如下: Enable-WSManCredSSP
1351
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
