将 defaultAuthenticationType 与 PowerShell Web 访问一起使用

将 defaultAuthenticationType 与 PowerShell Web 访问一起使用

PowerShell Web 访问允许您选择身份验证类型。默认情况下,它使用的值Default,最终为Negotiate。我已设置 CredSSP 以允许使用 CredSSP 登录 PSWA 服务器本身,以便网络身份验证在会话内进行(避免双跳问题,而无需在整个网络上委托凭据)。

无论如何,我希望 CredSSP 成为登录页面上的默认选项。

查看 IIS 中 PSWA Web 应用程序的配置选项,可以设置几个值来覆盖默认值。

其中之一被称为 ,defaultAuthenticationTypestring被设置为0

这似乎是正确的设置,但我无法让它工作。

如果我检查登录网页,我可以看到选择框具有以下值:

0   Default
1   Basic
2   Negotiate
4   CredSSP
5   Digest
6   Kerberos

3不见了。

约瑟夫发现3根据NegotiateWithImplicitCredential此页面,但在 Windows PowerShell 5.1.15063.966 上,枚举中缺少该名称/值。

如果我设置defaultAuthenticationType为数字,那么网页默认会有一个新选项:

7   Admin Specified

我尝试过34,但都不起作用。登录使用 Kerberos,不使用 CredSSP。

如果我手动选择 CredSSP,它会按预期工作。

如果我设置defaultAuthentcationType为像这样的字符串CredSSP,则不会Admin Specified出现任何选项,它只是再次默认为Default,并且仍然使用 Kerberos 身份验证。

有人能成功设置这个吗?网络结果非常糟糕。

答案1

尝试按照本指南操作,它应该可以带你到达你想去的地方。 https://www.petri.com/powershell-web-access-configuration

here is the section you want. 
PowerShell
1
Add-PswaAuthorizationRule : This command must be run by a user account with permissions to perform Active Directory queries.
If you run the command in an interactive (i.e. not via remoting) session on the server it should work just fine. The problem here is the second hop. The Add-PSwaAuthorizationRule cmdlet needs to make a connection to a domain controller, which by security design is not allowed in PowerShell Remoting. This second-hop limitation can be overcome by enabling CredSSP authentication. Note: This is not be done lightly as there are security ramifications, so research this fully before employing.

But in my situation, since I want to use remoting, I’ll exit out of the remote session and enable CredSSP on my desktop for CHI-WEB01.

PowerShell
1
PS C:\> Enable-WSManCredSSP -DelegateComputer chi-web01 -Role Client
Next, I need to enable the server side.

PowerShell
1
PS C:\> invoke-command {enable-wsmancredssp -Role Server -Force} -ComputerName chi-web01
With this in place, I can now re-establish my remote session specifying CredSSP and my credentials.

PowerShell
1
PS C:\> enter-pssession chi-web01 -Authentication Credssp -Credential globomantics\jeff
Now when I run the authorization command, it works as you can see below in Figure 3.

相关内容