PowerShell Web AccessでdefaultAuthenticationTypeを使用する

14

PowerShell Webアクセスでは、認証タイプを選択できます。デフォルトでは、値使用Defaultされて終わります、Negotiate。CredSSPを使用してPSWAサーバー自体にログインできるようにCredSSPを設定し、セッション内からネットワーク認証が機能するようにしました(ネットワーク全体で資格情報を委任することなく、二重ホップの問題を回避します)。

とにかく、CredSSPをサインインページの既定のオプションにする必要があります。

IISのPSWA Webアプリの構成オプションを見ると、デフォルトをオーバーライドするために設定できる値がいくつかあります。

それらの1つが呼び出さdefaultAuthenticationTypeれますが、stringはに設定されてい0ます。

これは適切な設定のように思えますが、動作させることはできません。

サインインWebページを調べると、選択ボックスに次の値があることがわかります。

0   Default
1   Basic
2   Negotiate
4   CredSSP
5   Digest
6   Kerberos

3 不足している。

JosefZ 3は、NegotiateWithImplicitCredentialこれがこのページ準拠していることを発見しましたが、Windows PowerShell 5.1.15063.966では、名前/値が列挙型にありません。

defaultAuthenticationType数値を設定すると、Webページはデフォルトで新しいオプションになります。

7   Admin Specified

私が試してみました3し、4どちらも1で作品。ログインはKerberosを使用して行われ、CredSSPは使用されません。

CredSSPを手動で選択すると、期待どおりに機能します。

defaultAuthentcationTypeような文字列に設定した場合CredSSPAdmin Specifiedオプションは表示されず、デフォルトにDefault戻り、Kerberos認証が使用されます。

誰かがこれを正常に設定できましたか?Webの結果は非常に不足しています。

powershell  credssp 
ブリアンティスト
ソース
また、logon.aspxページを更新して、デフォルトでCredSSPオプションを選択しましたか?
永続的13
@ Persistent13いいえ、そのページには触れませんでした。私はそれがうまくいくと思うし、それに頼るかもしれないが、それは明らかにハックだ。サポートされ、再現可能なものが欲しかった。私は実際にこれをほぼ完全にDSCを介してインストールおよび構成していますが、でその値を変更するためにジャンキースクリプトリソースを記述する必要はありませんlogon.aspx。それは確かに良い提案です。
-briantist
DSCについては、Get-Content、-replace、およびSet-Contentの組み合わせを使用してlogon.aspxを更新し、再現性を高めるために、独自のリソースを記述するか、スクリプトリソースを使用することをお勧めします。
永続的13
@ Persistent13ええ、それは実行可能です。configでこの値の変更をサポートすることを意図していたことは明らかだと思いますが、機能していないだけで、リソースの作成は手間がかかります。とにかく私の目的のために。
-briantist
1
[System.Management.Automation.Runspaces.AuthenticationMechanism]:: NegotiateWithImplicitCredential -as [int]AuthenticationMechanism列挙型を
-JosefZ

回答:

0

このガイドに従って、目的の場所に移動してください。 https://www.petri.com/powershell-web-access-configuration

here is the section you want. 
PowerShell
1
Add-PswaAuthorizationRule : This command must be run by a user account with permissions to perform Active Directory queries.
If you run the command in an interactive (i.e. not via remoting) session on the server it should work just fine. The problem here is the second hop. The Add-PSwaAuthorizationRule cmdlet needs to make a connection to a domain controller, which by security design is not allowed in PowerShell Remoting. This second-hop limitation can be overcome by enabling CredSSP authentication. Note: This is not be done lightly as there are security ramifications, so research this fully before employing.

But in my situation, since I want to use remoting, Ill exit out of the remote session and enable CredSSP on my desktop for CHI-WEB01.

PowerShell
1
PS C:\> Enable-WSManCredSSP -DelegateComputer chi-web01 -Role Client
Next, I need to enable the server side.

PowerShell
1
PS C:\> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName chi-web01
With this in place, I can now re-establish my remote session specifying CredSSP and my credentials.

PowerShell
1
PS C:\> enter-pssession chi-web01 -Authentication Credssp -Credential globomantics\jeff
Now when I run the authorization command, it works as you can see below in Figure 3.
ジョシュアクーン
ソース
こんにちはジョシュア、あなたの答えに感謝しますが、残念ながらこれは質問に答えません。すでにCredSSPをセットアップしましたが、問題はPSWAのWebインターフェイスのデフォルトの認証オプションを変更することです。私がやったことはすべて技術的にはうまくいきましたが、CredSSPを常に使用することを意図していた場合、ログインするたびに手動でCredSSPを選択するのは苦痛でした。そして、PSWAにはこのこと自体を制御する設定があるように見えますが、動作しません。
ブリアンティスト
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.