使用 PowerShell 远程处理(Invoke-Command例如使用 cmdlet)时,需要身份验证方案。
选项包括 Kerberos、CredSSP、NTLM 和协商。
它们之间有什么区别?我应该使用什么?
问问题
958 次
1 回答
3
Kerberos
优点:
- 非常安全。
- 无需传递隐式凭据。
缺点:
- 需要执行用户域中的 SPN 记录(仅在计算机域上自动注册。如果是两个不同的域 - SPN 需要手动注册)。
- 不支持第二跳远程处理。
信用证
有点安全——凭据被传递到远程服务器,并可能在那里被捕获。
优点:
- 支持第二跳远程处理。
缺点:
- 必须传递隐式凭据。
- 需要在服务器端和客户端进行特殊配置。
NTLM
优点:
- 无需传递隐式凭据。
缺点:
- 不是很安全。
- 不支持第二跳远程处理。
谈判
尝试 Kerberos。如果失败,则回退到 NTLM。有时安全,有时不安全。
优点:
- 无需传递隐式凭据。
缺点:
- 不支持第二跳远程处理。
于 2017-12-17T07:30:01.390 回答