隐式远程身份验证双跳问题

Question

目标：，我正在使用隐式远程处理来集中模块，以访问150多名员工。其中一些模块向不同的互联网站点发出查询。

问题：，尽管用户可以使用以下方法成功地远程进入服务器：

$session = New-PSSession -ComputerName ServerA -Authentication Kerberos

由于缺乏身份验证，它们在代理程序中被阻塞，同时向互联网查询。但是，用户可以向内部产品发送查询。

问题：

如何在我的powershell脚本中将Kerberos身份验证附加到要出站到internet以使其通过代理的查询？

附加信息：

-To我的知识根据：https://blogs.technet.microsoft.com/ashleymcglone/2016/08/30/powershell-remoting-kerberos-double-hop-solved-securely/

-Kerberos身份验证使用“无约束委托”。因此，在查询出站之前，它应该正确地委派auth。我还检查了会话变量的外部作用域，它不是null。

Answer 1

啊我记得那篇文章。我想你看错了关于不受约束的授权的那部分。这不是默认设置；默认情况下是关闭的(这就是双跳问题存在的原因)。当它说不需要编码时，这是因为它是完全在代码之外配置的。

您需要使用某种委托，无论是通过Kerberos、CredSSP还是其他什么的。

如果您确切地了解CredSSP的作用和风险，就可以相当安全地使用它，对于拥有一台机器将凭证委托给另一台机器的用例，我认为它是一个很好的用例。

很多人不这样做，只是让每台机器都委托给其他机器，这是相当糟糕的。

我很难从你的描述中看出它是什么样的代理，凭证真正需要去的地方，等等，所以这也许是个坏主意。

如果您不想(或者不应该)委托，另一种方法是在ServerA上设置一个使用RunAs用户的会话配置；该会话中运行的所有代码都可以跳一跳，但这也可能是错误的；所有代码都将以该用户的身份运行，而不是连接用户。它可以使审计成为一项挑战。这种方法只应在特定情况下使用，听起来这并不是其中之一。我在这里写了一个关于会话配置的答案。