Powershell per ssh und keylogin - merkwürdiges verhalten
Moin.
ich möchte von einem linux host aus auf einem windows pc powershell abfragen machen.
das funktioniert soweit auch, allerdings nur, solange die ssh verbindung über passwort login läuft.
wenn ich auf keylogin umstelle, wird der befehl scheinbar auch ausgeführt aber ich bekomme eine fehlermeldung zurück.
Befehl:
Fehlermeldung bei Keylogin:
Irgendjemand ne Idee woran das liegen könnte?
ich möchte von einem linux host aus auf einem windows pc powershell abfragen machen.
das funktioniert soweit auch, allerdings nur, solange die ssh verbindung über passwort login läuft.
wenn ich auf keylogin umstelle, wird der befehl scheinbar auch ausgeführt aber ich bekomme eine fehlermeldung zurück.
Befehl:
ssh foo@bar 'pwsh -Command "Import-Module ActiveDirectory; (Get-ADGroupMember -Identity "GS-Admin-foo" | Select Name).Name"'
Fehlermeldung bei Keylogin:
Get-ADGroupMember: Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt m�glicherweise daran, dass der Server nicht vorhanden oder derzeit ausgefallen ist oder dass darauf nicht Active Directory-Webdienste ausgef�hrt wird.
Irgendjemand ne Idee woran das liegen könnte?
Please also mark the comments that contributed to the solution of the article
Content-ID: 63510181101
Url: https://administrator.de/contentid/63510181101
Printed on: December 13, 2024 at 12:12 o'clock
2 Comments
Latest comment
Jepp, typisches double hop problem ... Das AD kennt den SSH Key nicht für die Authentication und zur Ausführung der AD Befehle, ergo fehlt das Kerb Ticket und du hast keinen Zugriff aufs AD mit dem Key.
Gib dem Befehl Get-ADGroupMember die Credentials über den Parameter -Credential mit dann klappts auch mit dem Nachbarn.
Bei der Nutzung von einem Kennwort kann dies zur automatisch zur Anforderung eines Kerb Tickets genutzt werden und deswegen hast du damit Zugriff.
☠️
Gib dem Befehl Get-ADGroupMember die Credentials über den Parameter -Credential mit dann klappts auch mit dem Nachbarn.
ssh foo@bar 'pwsh -C "(Get-ADGroupMember -Identity 'GS-Admin-foo' -Credential (new-Object PSCredential('USERNAME',(ConvertTo-SecureString 'GEHEIM' -AsPlainText -Force)))).Name"'
Bei der Nutzung von einem Kennwort kann dies zur automatisch zur Anforderung eines Kerb Tickets genutzt werden und deswegen hast du damit Zugriff.
☠️