我有一个 Powershell 脚本,它将通过自动化工具针对多台服务器运行。它在 Windows 机器上运行良好,因为远程调用使用该工具的服务帐户,无需在代码中提示或公开任何凭据。该脚本还使用 SharpSSH 包通过 SSH 在 Linux 机器上运行。SharpSSH 不会自动使用 Powershell 用户的凭据,但需要用户名和密码、RSA 密钥文件或 PSCredential 对象。我无法使用 Get-Credential 提示输入凭据,因为它是通过自动化工具运行的。我不想在代码中公开用户名和密码,也不想有一个 RSA 密钥。我想从当前的 Powershell 用户(服务帐户)构造一个 PSCredential 对象。尝试 [System.Net.CredentialCache]::
有没有人有从当前用户创建 PSCredential 对象的方法?或者也许是这个问题的完全不同的选择?
非常感谢!
Windows API 不会公开您需要的信息,这就是 Powershell 无法获取它们的原因。它是安全子系统的一个有意的功能。唯一可行的方法是让 Linux 机器信任调用机器,例如将它们加入 Active Directory(或任何 kerberos 设置)。
除此之外,您还需要以某种方式存储和传递这些信息。
您可以将 RSA 密钥存储在用户的密钥库中并在运行时提取它(使用 .NET Crypto/Keystore 库),因此您不会将密钥与代码一起存储。这样,密钥本身将受到操作系统的保护,并且仅在调用用户经过身份验证时才可用。您还需要安装一件事,但可能是实现您的目标的唯一方法。
“尝试 [System.Net.CredentialCache]::DefaultNetworkCredentials 显示空白,并且 [System.Security.Principal.WindowsIdentity]::GetCurrent() 没有提供我需要的对象或信息。”
你已经有了答案。我使用它在几个脚本中传递当前登录用户的凭据:
$Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials
$Username = $Credentials.UserName
$Password = $Credentials.Password
如果您尝试将它们转储到任何类型的可读输出,则当您转储它们时这些值是空的(出于明显的安全原因),但是它们确实可以在您需要 PSCredential 对象的地方工作。
由于您可以从凭证对象中以明文形式获取密码,因此我怀疑您是否可以在不提示的情况下获取此密码。
使用服务帐户的加密密钥加密密码怎么样?
一个简单的例子:
以服务帐户运行 PowerShell,运行以下命令并将输出保存到文本文件(或将其嵌入到计划任务调用中):
$String = '<PASSWORD>'
ConvertFrom-SecureString -SecureString (ConvertTo-SecureString -String $String -AsPlainText -Force)
在您的计划任务中使用以下命令来解密和使用密码:
$EncryptedString = '<ENCRYPTED PASSWORD FROM ABOVE>'
[Runtime.InteropServices.Marshal]::PtrToStringAuto([Runtime.InteropServices.Marshal]::SecureStringToBSTR((ConvertTo-SecureString -String $EncryptedString)))
这应该够了吧。但是,您不能在另一台计算机上重复使用加密密码,或者如果您出于某种原因破坏了本地密钥库:)