暗黙リモート認証ダブルホップ問題

Question

ゴール： 私は150人以上の従業員にアクセスするためにモジュールを集中化するために暗黙リモートを利用しています。これらのモジュールの中には、インターネット上のさまざまなサイトにクエリを発信するものがあります。

問題： ユーザーが成功し、リモート・サーバに使用することができますが：

$session = New-PSSession -ComputerName ServerA -Authentication Kerberos 

のための認証の不足のインターネットにクエリをしながら彼らは、プロキシでブロックされています。ただし、ユーザーは内部プロダクションにクエリを送信できます。

質問：

私はプロキシを過ぎてそれを作るためにインターネットにアウトバウンドうとしているクエリに、私のPowerShellスクリプトでは、Kerberos認証を添付できますか？

追加情報：私の知識-To

はに従って：-Kerberos認証は、「制約のないdelegation.'Thereforeを使用しています https://blogs.technet.microsoft.com/ashleymcglone/2016/08/30/powershell-remoting-kerberos-double-hop-solved-securely/

、それはアウトバウンドを照会する前に、正しく認証を委任する必要があります。私はまた、セッション変数の外側のスコープをチェックし、nullではありません。

Answer 1

ああ、私はその記事を覚えています。私は、拘束されていない委任に関する部分を間違って読んでいると思います。これはデフォルト設定ではありません。デフォルトではオフになっています（ダブルホップの問題が存在する理由です）。コーディングが必要ないと言われるとき、それはコードの外側に完全に構​​成されているからです。

KerberosやCredSSPなど、何らかの委任を使用する必要があります。

CredSSP can be used fairly securely if you understand exactly what's it doing and what the risk isと、1台のマシンに1台の他のマシンに資格証明を委任させる場合には、私はそれが良いユースケースになると思います。

多くの人は、すべてのマシンを他のすべてのマシンに委任させてしまいます。かなり悪いです。

あなたドン場合は、私は、資格情報が実際に行く必要がある、それは、あるプロキシの種類をあなたの説明から、などを教えすることは難しいので、多分これは悪い考えです。..

---

別の方法は、ServerAでRunAsユーザーを使用するセッション構成をセットアップすることです。そのセッションで実行されているすべてのコードが1ホップ進むことができますが、これも悪いことがあります。すべてのコードは接続ユーザーではなくそのユーザーとして実行されます。それは監査に挑戦をさせることができます。このアプローチは特定の状況でのみ使用する必要があり、そうではないように思えます。 I wrote an answer here that talks about session configurations。