1. ホーム
  2. 質問と答え
  3. セキュリティで保護されたプレイブックを使用したHTTPでのKerberos認証

セキュリティで保護されたプレイブックを使用したHTTPでのKerberos認証

2016-10-06 29 views
0

複数のWindows 2012 R2ドメインコントローラ(DC)にいくつかのDNSエントリを追加する予定です。 HTTPを介して認証しようとすると、DCは自分の資格情報を拒否します。セキュリティで保護されたプレイブックを使用したHTTPでのKerberos認証

私はコントロールマシン上でケルベロスを設定するためにAnsibleウェブサイトの文書に従っています。

http://docs.ansible.com/ansible/intro_windows.html#active-directory-support

また、私は私の資格情報を使用してドメインにログインできることを確認しました:

$ klist 
Ticket cache: FILE:/tmp/krb5cc_1000 
Default principal: [email protected]<REDACTED> 

Valid starting  Expires    Service principal 
10/06/2016 09:47:03 10/06/2016 19:47:03 krbtgt/<REDACTED>@<REDACTED> 
    renew until 10/07/2016 09:46:59 
10/06/2016 09:47:48 10/06/2016 19:47:03 HTTP/phx-dev-mwad01.<REDACTED>@<REDACTED> 
    renew until 10/07/2016 09:46:59 
10/06/2016 09:54:15 10/06/2016 19:47:03 HTTP/phx-dev-mwad02.<REDACTED>@<REDACTED> 
    renew until 10/07/2016 09:46:59 
10/06/2016 12:08:28 10/06/2016 19:47:03 HTTP/phx-dev-want01.<REDACTED>@<REDACTED> 
    renew until 10/07/2016 09:46:59

私はセキュリティ上の目的のためにドメインを編集さ。ここで

がWinRMのための私の設定ファイルである:私はポート5986(HTTPS)経由でWindowsサーバに接続できています 

ansible_user: [email protected]<REDACTED> 
ansible_password: SomePass 
ansible_port: 5985 
ansible_connection: winrm 
# The following is necessary for Python 2.7.9+ when using default WinRM self-signed certificates: 
ansible_winrm_server_cert_validation: ignore

、しかし生産にドメインコントローラが5986用に構成されていないので、Ansible 必見ポート5985(HTTP)を介して接続を確立できること。この要件は、プロダクションでは変更されません。

5985を超える接続を試みると、資格情報が拒否されます。

fatal: [phx-dev-mwad02]: UNREACHABLE! => {"changed": false, "msg": "kerberos: (u'http', u'Bad HTTP response returned from server. Code 500'), plaintext: the specified credentials were rejected by the server", "unreachable": true}

のWinRMはリモート管理を許可するように設定されている。ここで

$winrm quickconfig 
WinRM service is already running on this machine. 
WinRM is already set up for remote management on this computer.

は、私たちのWinRMの構成に要点である:

https://gist.github.com/anonymous/f2baaff517287c535453dbba4ef03b69

そして、はい、私は私の資格情報があることを確認しました正しい。

出典

2016-10-06 Avalon

答えて

1

winrmサーバーの設定でAllowUnencrypted = falseを見てください。今のところ、python winrmはmessage encryption without httpsをサポートしていないようです。回避策としては、安全でないである、trueに設定することができますので、私は強く、この(CMD)をお勧めしません:これはそれを「それを動作させる」しますが

winrm set winrm/config/service @{AllowUnencrypted="true"}

https://pypi.python.org/pypi/pywinrm

出典

2017-02-11 10:18:29 urusha

+0

HTTP or HTTPS endpointセクションを参照してください。プロダクトパスワードも平文でリークされるため、お勧めできません。 – MattK

+0

kerberosを使用すると、認証パスワードが漏洩することはありませんが、他のすべてのメッセージコンテンツ(サードパーティのソフトウェアパスワード、レジストリキー、およびその他の個人情報を含む)は、mtmによって漏洩し、変更されることさえあります。 – urusha

関連する問題

 関連する問題