instinctless
Goto Top

Powershell per ssh und keylogin - merkwürdiges verhalten

Moin.
ich möchte von einem linux host aus auf einem windows pc powershell abfragen machen.
das funktioniert soweit auch, allerdings nur, solange die ssh verbindung über passwort login läuft.
wenn ich auf keylogin umstelle, wird der befehl scheinbar auch ausgeführt aber ich bekomme eine fehlermeldung zurück.

Befehl:
ssh foo@bar 'pwsh -Command "Import-Module ActiveDirectory; (Get-ADGroupMember -Identity "GS-Admin-foo" | Select Name).Name"'  

Fehlermeldung bei Keylogin:
Get-ADGroupMember: Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt m�glicherweise daran, dass der Server nicht vorhanden oder derzeit ausgefallen ist oder dass darauf nicht Active Directory-Webdienste ausgef�hrt wird.

Irgendjemand ne Idee woran das liegen könnte?

Content-ID: 63510181101

Url: https://administrator.de/contentid/63510181101

Printed on: December 13, 2024 at 12:12 o'clock

11078840001
Solution 11078840001 Feb 13, 2024 updated at 16:14:01 (UTC)
Goto Top
Jepp, typisches double hop problem ... Das AD kennt den SSH Key nicht für die Authentication und zur Ausführung der AD Befehle, ergo fehlt das Kerb Ticket und du hast keinen Zugriff aufs AD mit dem Key.
Gib dem Befehl Get-ADGroupMember die Credentials über den Parameter -Credential mit dann klappts auch mit dem Nachbarn.

ssh foo@bar 'pwsh -C "(Get-ADGroupMember -Identity 'GS-Admin-foo' -Credential (new-Object PSCredential('USERNAME',(ConvertTo-SecureString 'GEHEIM' -AsPlainText -Force)))).Name"'    

Bei der Nutzung von einem Kennwort kann dies zur automatisch zur Anforderung eines Kerb Tickets genutzt werden und deswegen hast du damit Zugriff.


☠️
instinctless
instinctless Feb 14, 2024 at 15:34:47 (UTC)
Goto Top
vielen dank. probiere ich aus!