Question
connexion winrm
- hays
- Auteur du sujet
- Hors Ligne
- Membre senior
- Messages : 41
- Remerciements reçus 0
j'aimerais pourvoir mettre en place un accès sur nos serveurs un peu comme des connexions ssh sous linux, cependant j'ai l'impression que la solution est un peu lourde à mettre en place.
A priori pour avoir quelques choses de sécurisés je dois utiliser un certificat serveur, j'ai un peu de mal à bien mettre les carrés dans les carrés et les ronds dans les ronds.
j'admets que je n'ai pas encore fait trop de tests, il faudra que je valide clairement si je dois générer un certificat sur chaque serveur auquel je veux accéder ou si je peux utiliser le même certificat pour tous mes serveurs.
quoi qu'il en soit est-ce qu'il y a vraiment un intérêt en local ou via un réseau inter-connecté (ssl ou ipsec) ?
si certain serveur son des futures serveurs core j'imagine que oui mais est-ce qu'il y a vraiment un intérêt d'activer https dans un réseau local ?
Connexion ou Créer un compte pour participer à la conversation.
- hays
- Auteur du sujet
- Hors Ligne
- Membre senior
- Messages : 41
- Remerciements reçus 0
en fait je m’aperçois que ce n'est pas vraiment une question mais la preuve de mon manque de connaissance.
je vais continuer à lire le sujet cloud-os car le peu que je lis répond à ma question de fond.
je vais lire tranquillement le second bouquin sur les fonctionnalités avancées qui commence par parler justement de mes interrogations
DSC, infrastructure-as-code et cloud-os.
que des sujets qui dépasse mon niveau actuelle mais qui prouve que winrm est une pratique à mettre en oeuvre et à maîtriser absolument.
Connexion ou Créer un compte pour participer à la conversation.
- Matthew BETTON
- Hors Ligne
- Membre platinium
- Messages : 968
- Remerciements reçus 0
n3m0 écrit:
A priori pour avoir quelques choses de sécurisés je dois utiliser un certificat serveur
Depuis Windows 2008 R2, WinRM est déjà activé par défaut avec un listener http (port 5985 par défaut).
Pour lister les listener, exécuter cette commande dans une invite de commandes :
[code:1]winrm e winrm/config/listener[/code:1]
Lorsque les serveurs sont intégrés dans un domaine Active Directory, les communications via ce listener sont cryptées via Kerberos.
Donc à ce stade, il n'y a pas besoin de certificat serveur....
Pour des besoins particuliers (par exemple une communication depuis des applicatifs/logiciels tiers : vive le devops ... et le mix des technos !), tu peux ajouter un listener https (port 5986 par défaut) si tu le souhaites et pour cela il faudra effectivement ajouter un certificat serveur, dont le 'subject' est le nom FQDN du serveur. En entreprise, cela implique qu'il existe une PKI d'entreprise, que les certificats des CA + un certificat par serveur concerné soient déployés.
Dans ce dernier cas, cela nécessite effectivement un certain nombre de connaissances avant de pouvoir maîtriser complétement le sujet.... et donc cela nécessite de lire les documentations afférentes
Bon courage pour la suite
Matthew
Connexion ou Créer un compte pour participer à la conversation.
- hays
- Auteur du sujet
- Hors Ligne
- Membre senior
- Messages : 41
- Remerciements reçus 0
crypter via kerberos c'est fiable d’après ce que j'ai lu mais sur un réseau local qui commence à être conséquent est-ce que les mots de passes son bien protégés sur une comm. en http ou les données qui y transite de manière plus générale ?
est-ce que je risque de voir des choses passés si je mets en place un wireshark ou ou sniffer sur un poste ?
Connexion ou Créer un compte pour participer à la conversation.
- Matthew BETTON
- Hors Ligne
- Membre platinium
- Messages : 968
- Remerciements reçus 0
Le protocole http est utilisé pour les échanges. WinRM est SOAP . Le flux est, dans ce cas, bien encrypté par défaut via Kerberos.
Je ne comprends pas totalement ce que tu appelles \"un réseau local\".
Il n'y a pas de lien entre 'réseau local conséquent' et le fait que les échanges soient encryptés ou non. Dans tous les cas, il est effectivement préférable qu les flux soient encryptés
Peut être veux tu dire des machines en workgroup ... tu peux effectivement le vérifier en faisant une trace Wireshark.
[code:1] PS> Get-Help about_remote_faq[/code:1]
IS WINDOWS POWERSHELL REMOTING SECURE?
When you connect to a remote computer, the system uses the user
name and password credentials on the local computer or the credentials
that you supply in the command to log you in to the remote computer.
The credentials and the rest of the transmission are encrypted.
To add additional protection, you can configure the remote computer
to use Secure Sockets Layer (SSL) instead of HTTP to listen for
Windows Remote Management (WinRM) requests. Then, users can use
the UseSSL parameters of the Invoke-Command, New-PSSession, and
Enter-PSSession cmdlets when establishing a connection. This option
uses the more secure HTTPS channel instead of HTTP.
Les certificats peuvent servir à 4 choses :
- Le contrôle de la non répudiation (est ce que le certificat de la machine distante a été révoqué / puis je lui faire confiance ? Est-ce bien le bon serveur ?)
- L'encryption des communications client / serveur
- L'authentification (je montre patte blanche, qui je suis)
- L'autorisation (je suis autorisé à accéder à <= on peut être \"authentifié\" mais pas \"autorisé à\")
Dans le cas de WinRM sur https, on a les 2 premiers points.
Dans un domaine on aura quand même besoin d'utiliser un compte utilisateur de l'AD et son mot de passe associé (en session implicite ou explicitement via le paramétre -Credential), en tout cas par défaut, car d'autres choix sont possibles :
Authentication for Remote Connections
The default authentication option at system installation is Kerberos.
Mais pour utiliser kerberos il faut un KDC, donc un AD <br><br>Message édité par: Matthew BETTON, à: 23/03/17 19:37
Connexion ou Créer un compte pour participer à la conversation.
- hays
- Auteur du sujet
- Hors Ligne
- Membre senior
- Messages : 41
- Remerciements reçus 0
je veux dire par réseau local, en réduisant cela à ça plus simple expression à un réseau en 192.168.0.0/24
en réalité je parle de plusieurs sous réseau en exagérant du 10.0.0.0 /8 par exemple
il y a du filtrage, du vlan etc .. mais étant données que j'ai pas mal de petit malin, j'ai pas trop envie de passer trop de choses en claire sur le même brun.
sinon dans le concept ça me plait bien.
Message édité par: n3m0, à: 29/03/17 10:46<br><br>Message édité par: n3m0, à: 29/03/17 10:47
Connexion ou Créer un compte pour participer à la conversation.
- Vous êtes ici :
- Accueil
- forum
- PowerShell
- Discussions générales
- connexion winrm