在PowerShell中,我应该使用哪种身份验证方案?

时间:2017-12-17 07:26:14

标签: powershell authentication ntlm powershell-remoting credssp

使用PowerShell远程处理时(例如,使用Invoke-Command cmdlet),需要身份验证方案。

选项包括Kerberos,CredSSP,NTLM和Negotiate。

他们之间有什么区别?我该怎么用?

1 个答案:

答案 0 :(得分:1)

<强>的Kerberos

优点:

  • 非常安全。
  • 无需传递隐式凭据。

缺点:

  • 在执行用户的域中需要SPN记录(仅在计算机域上自动注册。如果是两个不同的域 - 则需要手动注册SPN。)
  • 不支持第二跳远程处理。

<强>的CredSSP

有点安全 - 凭据被传递到远程服务器并可能在那里被捕获。

优点:

  • 支持第二跳远程处理。

缺点:

  • 必须传递隐式凭据。
  • 需要在服务器和服务器上进行特殊配置。客户方。

<强> NTLM

优点:

  • 无需传递隐式凭据。

缺点:

  • 不太安全。
  • 不支持第二跳远程处理。

<强>协商

尝试Kerberos。如果失败,则回退到NTLM。有时安全,有时不安全。

优点:

  • 无需传递隐式凭据。

缺点:

  • 不支持第二跳远程处理。
相关问题
最新问题