înregistrare Logare
Puncte:0
avatar Server

Rollover cheie de decriptare Azure AD Kerberos; new-azureADSSOAuthenticationContext; folosind token în loc de pscredential

drapel ae
John Ranger

Efectuăm automat procesul de transfer al cheii de decriptare Kerberos de 30 de zile utilizând o parolă „criptată” stocată într-un fișier text pentru a crea obiectul PSCredential necesar pentru comanda Powershell new-azureADSSOAuthenticationContext.

Acest lucru funcționează - dar vreau să îmbunătățesc securitatea generală și, prin urmare, vreau să elimin obiectul PSCredential pentru administratorul global al chiriașului nostru pe Azure.

Am văzut că comanda new-azureADSSOAuthenticationContext poate fi alimentată și cu un token de acces (prin parametrul -token). Un token de acces pe care îl pot prelua utilizând un certificat stocat în depozitul de certificate de mașină mult mai sigur, folosind „Get-MsalToken”

Până acum am creat o aplicație Azure, i-am atribuit SecurityPrincipalului rolul de Administrator global (sub Enterprise Apps) și am creat un certificat autosemnat (stocat în magazinul personal al mașinii) și am încărcat acest certificat în aplicația Azure.

Primesc jetonul cu: $Token = Get-MsalToken -ClientId $ClientId -TenantId $TenantId -ClientCertificate $Certificate -RedirectUri "http://bla.com"

Acest lucru funcționează și, de asemenea, pot folosi jetonul în new-azureADSSOAuthenticationContext.

Dar atunci când apelez la Update-AzureADSSOForest -OnPremCredentials $OnpremCred, primesc următoarea eroare:

  • Când rulați sub „noul” Powershell 7: Linia | 133 | Actualizare-AzureADSSOForest -OnPremCredentials $OnpremCred | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ | Nu s-a putut încărca tipul „System.ServiceModel.Web.WebChannelFactory`1” din ansamblul „System.ServiceModel.Web, Version=4.0.0.0, Culture=neutral, | PublicKeyToken=31bf3856ad364e35'.

  • Când rulați sub „vechiul” Powershell 5.1: Update-AzureADSSOForest : încărcarea informațiilor despre contul computerului nu a reușit. Mesaj de eroare: Solicitarea DesktopSsoNumOfDomains a fost făcută cu authenticatedToken nevalid. Valoare:'' La C:\Scripts\DEV-MIHA\KerberosKeyRollover\M365_Kerberos_Key_Rollover.ps1:133 char:1

  • Actualizare-AzureADSSOForest -OnPremCredentials $OnpremCred
  •   + CategoryInfo: NotSpecified: (:) [Update-AzureADSSOForest], excepție
  + FullyQualifiedErrorId: System.Exception,Microsoft.KerberosAuth.Powershell.PowershellCommands.UpdateAzureADSSOForestCommand

Sugestie: Am citit destul de multe ore despre problema generală - și până acum nu am găsit nicio soluție pentru această problemă. Cu excepția faptului că unii susțin că acest lucru nu este posibil în prezent.

Dar poate că cineva acolo a reușit deja ceea ce vreau să obțin

Sugestiile sunt binevenite. :-)

42
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.