【发布时间】:2017-12-17 07:26:14
【问题描述】:
使用 PowerShell 远程处理(例如使用 Invoke-Command cmdlet)时,需要身份验证方案。
选项包括 Kerberos、CredSSP、NTLM 和协商。
它们之间有什么区别?我应该使用什么?
【问题讨论】:
标签: powershell authentication ntlm powershell-remoting credssp
【发布时间】:2017-12-17 07:26:14
【问题描述】:
Kerberos
优点:
- 非常安全。
- 无需传递隐式凭据。
缺点:
- 需要执行用户域中的 SPN 记录(仅在计算机域中自动注册。如果是两个不同的域 - SPN 需要手动注册)。
- 不支持第二跳远程处理。
CredSSP
有点安全 - 凭据被传递到远程服务器并可能在那里被捕获。
优点:
- 支持第二跳远程处理。
缺点:
- 必须传递隐式凭据。
- 需要在服务器端和客户端进行特殊配置。
NTLM
优点:
- 无需传递隐式凭据。
缺点:
- 不是很安全。
- 不支持第二跳远程处理。
协商
尝试 Kerberos。如果失败,则回退到 NTLM。有时安全,有时不安全。
优点:
- 无需传递隐式凭据。
缺点:
- 不支持第二跳远程处理。
【讨论】:
-
我认为当你写“隐式”时,你的意思是“显式”