PowerShell 웹 액세스에서 defaultAuthenticationType 사용


14

PowerShell 웹 액세스를 통해 인증 유형을 선택할 수 있습니다. 기본적으로이 값 사용 Default되는 끝, Negotiate. CredSSP를 사용하여 PSWA 서버 자체에 로그인 할 수 있도록 CredSSP를 설정하여 세션 내에서 네트워크 인증이 작동하도록합니다 (네트워크 전체에서 자격 증명을 위임하지 않고 이중 홉 문제는 피함).

어쨌든 CredSSP가 로그인 페이지의 기본 옵션이 되길 원합니다.

IIS에서 PSWA 웹앱의 구성 옵션을 살펴보면 기본값을 재정의하도록 설정할 수있는 몇 가지 값이 있습니다.

그 중 하나라고 defaultAuthenticationType을 어느 string하지만 설정되어 0.

이것은 올바른 설정처럼 보이지만 제대로 작동하지 않습니다.

웹 페이지에서 로그인을 검사하면 선택 상자에 다음 값이 있음을 알 수 있습니다.

0   Default
1   Basic
2   Negotiate
4   CredSSP
5   Digest
6   Kerberos

3 누락.

JosefZ이 발견 3되어 NegotiateWithImplicitCredential이 페이지에 따르면 , 그러나 Windows PowerShell을 5.1.15063.966에 나를 위해 그 이름 / 값은 열거에서 누락되었습니다.

defaultAuthenticationType숫자로 설정 하면 웹 페이지는 기본적으로 새로운 옵션으로 설정됩니다.

7   Admin Specified

나는 시도하지 않은 34하나 개의 작품을, 그러나 어느 쪽도 아니. 로그인은 Kerberos를 사용하여 이루어지며 CredSSP는 사용되지 않습니다.

CredSSP를 수동으로 선택하면 예상대로 작동합니다.

defaultAuthentcationType와 같은 문자열로 설정 하면 옵션이 나타나지 CredSSP않고 Admin Specified기본값은 Default다시 기본값 이며 여전히 Kerberos 인증이 사용됩니다.

누구든지 이것을 성공적으로 설정할 수 있습니까? 웹 결과는 매우 부족했습니다.


logon.aspx 페이지를 업데이트하여 기본적으로 CredSSP 옵션을 선택 했습니까?
퍼시 스턴트 13

@ Persistent13 아니오 해당 페이지를 건드리지 않았습니다. 나는 그것이 효과가 있다고 생각하고 그것에 의지 할 수 있지만 분명히 해킹입니다. 나는 지원되고 반복 가능한 것을 원했습니다. 실제로 DSC를 통해 거의 완전히 설치하고 구성하고 있으며 그 값을 변경하기 위해 janky 스크립트 리소스를 작성하고 싶지 않습니다 logon.aspx. 그래도 좋은 제안입니다.
briantist

DSC의 경우 반복 가능한 Get-Content, -replace 및 Set-Content 조합을 사용하여 자체 리소스를 작성하거나 스크립트 리소스를 사용하여 logon.aspx를 업데이트하는 것이 좋습니다.
Persistent13

@ Persistent13 네, 가능합니다. 나는 의도가 설정 에서이 값을 변경하는 것을 지원하고, 작동하지 않으며, 리소스를 작성하는 것이 어려운 일이라고 생각합니다. 어쨌든 내 목적으로.
briantist

1
[System.Management.Automation.Runspaces.AuthenticationMechanism]:: NegotiateWithImplicitCredential -as [int]AuthenticationMechanismenum
JosefZ

답변:


0

이 가이드를 따라 가면 원하는 곳으로 갈 수 있습니다. https://www.petri.com/powershell-web-access-configuration

here is the section you want. 
PowerShell
1
Add-PswaAuthorizationRule : This command must be run by a user account with permissions to perform Active Directory queries.
If you run the command in an interactive (i.e. not via remoting) session on the server it should work just fine. The problem here is the second hop. The Add-PSwaAuthorizationRule cmdlet needs to make a connection to a domain controller, which by security design is not allowed in PowerShell Remoting. This second-hop limitation can be overcome by enabling CredSSP authentication. Note: This is not be done lightly as there are security ramifications, so research this fully before employing.

But in my situation, since I want to use remoting, Ill exit out of the remote session and enable CredSSP on my desktop for CHI-WEB01.

PowerShell
1
PS C:\> Enable-WSManCredSSP -DelegateComputer chi-web01 -Role Client
Next, I need to enable the server side.

PowerShell
1
PS C:\> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName chi-web01
With this in place, I can now re-establish my remote session specifying CredSSP and my credentials.

PowerShell
1
PS C:\> enter-pssession chi-web01 -Authentication Credssp -Credential globomantics\jeff
Now when I run the authorization command, it works as you can see below in Figure 3.

안녕 여호수아, 나는 당신의 대답에 감사하지만 불행히도 이것은 질문에 대답하지 않습니다. 이미 CredSSP를 설정했지만 PSWA의 웹 인터페이스에서 기본 인증 옵션을 변경하는 데 문제가 있습니다. 내가 한 모든 것은 기술적으로 효과가 있었기 때문에 항상 CredSSP를 사용하려는 의도가있을 때마다 로그인 할 때마다 CredSSP를 수동으로 선택해야했습니다. 그리고 PSWA는 이것을 제어하는 ​​설정을 가지고 있지만 작동하지 않습니다.
briantist
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.