Как настроить CredSSP для использования с WinRM / PowerShell в Secret Server? Настройка конфигурации прокси-сервера SSH

Пользователь:
 
Добрый день!
 
1. Как настроить  CredSSP для использования с WinRM / PowerShell в Secret Server?

2. Настройка конфигурации прокси-сервера SSH и пропускная способность в Secret Server.



 


Консультант:

Здравствуйте!

1. В некоторых случаях сценарию PowerShell может потребоваться доступ к ресурсам за пределами компьютера с секретным сервером. Для этого необходимо, чтобы учетные данные были делегированы на целевой компьютер. Secret Server запускает сценарии PowerShell с использованием WinRM, что по умолчанию не разрешает делегирование полномочий. Чтобы разрешить делегирование полномочий, на компьютере с секретным сервером должен быть включен CredSSP. Поставщик поддержки безопасности учетных данных (CredSSP) - это поставщик поддержки безопасности, который позволяет клиенту делегировать учетные данные целевому серверу.

Вот несколько примеров сценариев, которые требуют CredSSP:

  • Сценарий должен запросить или обновить значение в Active Directory.
  • Сценарий должен запросить или обновить значение в экземпляре SQL Server.


Включение CredSSP для WinRM на секретном сервере

  1. Зайдите в Администрирование -> Конфигурация.
  2. Нажмите Изменить.
  3. Установите флажок «Включить аутентификацию CredSSP для WinRM» и сохраните.


Настройка CredSSP For WinRM на компьютере с секретным сервером

  1. Войдите на компьютер, на котором запущен Secret Server.
  2. Запустите Windows PowerShell от имени администратора.
  3. Включите CredSSP на стороне клиента, выполнив: 
    Enable-WSManCredSSP -Role Client -DelegateComputer <полное имя компьютера с секретным сервером>
  4. Включите CredSSP на стороне сервера, запустив: 
    Enable-WSManCredSSP -Role Server

Убедитесь, что параметр групповой политики «Разрешить делегирование новых учетных данных» включен и не отключен политикой домена.
  1. Откройте gpedit.msc на вашем компьютере с секретным сервером.
  2. Перейдите в «Настройки компьютера»> «Административные шаблоны»> «Система»> «Делегирование полномочий».
  3. Измените параметр «Разрешить делегирование новых учетных данных».
  4. Убедитесь, что он включен.
  5. Нажмите «Показать ...»
  6. Убедитесь, что список содержит запись, которая начинается с «wsman /» и заканчивается полным именем компьютера с секретным сервером.
  7. Перезагрузите компьютер с секретным сервером.
* Примечание. Удаленные агенты были обновлены до распределенных модулей в версии 8.9. *
Включение CredSSP на агенте Secret Server для использования с зависимостями сценариев PowerShell (8.8.000020 и более ранние версии)


ПРИМЕЧАНИЕ . Удаленные агенты нужны только для подключения к сетям, которые не подключены напрямую к
сети, в которой установлен Secret Server. Если вы не используете удаленные агенты, вы можете игнорировать этот раздел.

По умолчанию агент секретного сервера наследует параметр «Включить аутентификацию CredSSP для WinRM» от секретного сервера. Однако это может быть переопределено в файле конфигурации следующим образом:

 
  1. На компьютере с агентом найдите программные файлы агента Secret Server (по умолчанию: C: \ Program Files (x86) \ Thycotic Software Ltd \ Агент Secret Server).
  2. Отредактируйте SecretServerAgentService.exe.Config в текстовом редакторе.
  3. Найдите раздел под названием UnencryptedSettings
  4. Добавьте новый ключ в этот раздел для EnableCredSSPForWinRM и установите для него значение true. Например: 
  5. Перезапустите службу агента секретного сервера, чтобы применить настройку.


2. Прокси-сервер секретного сервера направляет сеансы SSH и RDP и помогает защитить учетные данные конечной точки. Есть 2 варианта конфигурации для проксирования:

  1. Прокси через веб-приложение Secret Server
  2. Прокси через распределенный движок
Примечание: SSH-прокси Secret Server не будет действовать как VPN и не будет способствовать внешнему соединению RDP. Клиентская машина должна быть в сети для RDP.
 
 
Включение прокси:
 
  1. Перейти к ADMIN | SSH Proxy
  2. Включите SSH-прокси и SSH-туннелирование и сгенерируйте новый ключ
  3. Чтобы включить прокси на веб-узлах, отредактируйте строку в разделе «Узлы» и задайте общедоступный хост и IP-адрес привязки. Для стандартного сервера они могут быть одинаковыми, но если на сервере не установлен общедоступный IP-адрес сервера (например, балансировщик нагрузки или экземпляр EC2 с эластичным IP-адресом), они будут другими.
  4. Чтобы включить прокси для определенного сайта и всех механизмов на этом сайте, отредактируйте строку в разделе «Сайты» и включите прокси и установите порт SSH.
  5. Движки для сайтов перечислены в разделе «Движки» ниже, имя хоста / IP-адрес будет общедоступным узлом или IP-адресом, к которому будет подключен модуль запуска, а адрес привязки SSH будет IP-адресом на сервере, который будет прослушивать прокси-сервер SSH. Опять же, они, как правило, будут одинаковыми, но могут отличаться, если разрешаемый IP-адрес или хост машины механизма отличается от IP-адреса сетевого адаптера на компьютере.
  6. Включите проксирование по секрету с помощью программы запуска RDP или PuTTY. Теперь программа запуска подключится к назначенному сайту, который установлен на вкладке Общие. Если на сайте включен прокси-сервер, он будет проходить через механизмы, доступные на сайте, в противном случае он будет использовать прокси-сервер веб-приложения Secret Server.

Производительность прокси веб-приложения

Аппаратное обеспечение
Intel 3,7 ГГц Quad Core
16 ГБ ОЗУ
100 МБ / с и лучше Сетевые возможности Сеансы

Активности

сессий были протестированы со стандартным использованием, таким как открытие и изменение файлов и навигация по файловой системе в Linux. На Windows активность была открытие оснастки MMC. редактирование файлов и копирование файлов через сеанс RDP. Если выполняется постоянная передача большого файла через несколько одновременных сеансов или иная передача больших объемов данных (например, потоковая передача видео через сеанс RDP), максимальное число одновременных сеансов будет значительно сокращено.

протокол Параллельные сессии
SSH 300
RDP 100


Соединения прокси Соединения

От пользователя к прокси по SSH, и порт можно настроить. Компьютер пользователя будет подключаться к прокси-серверу Engine SSH или прокси-серверу SSH веб-приложения Secret Server. 

SSH-прокси с распределенным ядром с несколькими узлами

Если вы используете кластеризацию с Secret Server, вы можете точно выбрать, какой из ваших узлов действует как SSH-прокси. На админа | Страница прокси SSH прокрутите вниз до раздела Узлы. Для каждого узла, которым вы хотите быть прокси, настройте Общедоступный хост SSH (должен быть IP-адрес, а не DNS-имя) и IP-адрес привязки SSH (используйте 0.0.0.0 для простой привязки ко всем IPv4 P на сервере). Не все узлы необходимо настраивать, если вы не хотите, чтобы все они были прокси.

Как только IP-адреса будут сохранены для каждого узла, он должен начать прослушивать порт прокси-сервера SSH. Это можно проверить с помощью Nestat. На случай, если вы не увидите, что узел прослушивает выбранный вами порт, выполните сброс IIS и подключитесь к его сайту Secret Server, и он должен прослушивать, как только Secret Server снова запустится.

C: \ Users \ Администратор> netstat -ano | find ": 22"
 TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 3600

Теперь, когда пользователь подключается к веб-странице секретного сервера, если его узел настроен на использование прокси-сервера SSH, он подключается к этому узлу. SSH Public Host IP. Если узел, к которому они подключены, не настроен для использования в качестве прокси-сервера SSH, то пользователи будут циклически перебирать другие узлы, являющиеся прокси-серверами SSH, и подключаться к своему общедоступному IP-адресу SSH.

Купить Thycotic Secret Server в Москве, Купить Thycotic Secret Server в Московской области Вы можете по ссылке ниже.  
Купить Thycotic Secret Server. Thycotic Secret Server сроки поставки, продление, консультация, закупка. Купить Секрет Сервер в Москве, Купить Thycotic Secret Server в МО





 
 

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.