Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Protokół WinRM. Zarządzanie Windows z poziomu Linuksa

Data publikacji: 23-02-2017 Autor: Bartosz Bielawski

W pierwszej części cyklu („IT Professional” 2/2017, s. 18) opisaliśmy, jak użyć Pythona i dostępnej w nim biblioteki pywinrm, aby zacząć skutecznie zarządzać systemem Windows z poziomu Linuksa. W niniejszym artykule skupimy się głównie na wykonywaniu rozbudowanych poleceń i zabezpieczeniu komunikacji ze zdalnym systemem.

Pywinrm umożliwia wykorzystanie protokołu WinRM do zdalnego wykonywania poleceń i względnie bezpiecznego zarządzania Windows, wprowadzając niewielkie zmiany po stronie celu. Często jednak poziom „względnie bezpieczny” nas nie zadowoli. W tej części cyklu opiszemy, co musimy zmienić, aby odpowiednio zagwarantować bezpieczeństwo połączenia. Drugim problemem, który pozostawiliśmy nierozwiązany, jest ograniczenie długości uruchamianego skryptu. I choć tego problemu nie da się rozwiązać, przyjrzymy się, jak można go obejść.

> WINRM I CERTYFIKATY

Protokół WinRM opiera się w znacznej mierze na protokole HTTP. Komunikację pomiędzy klientem a serwerem możemy zabezpieczyć za pomocą Secure Socket Layer (SSL). Aby z możliwości tej skorzystać, podobnie jak to ma miejsce w przypadku innych tego typu zastosowań, w pierwszej kolejności musimy zadbać o odpowiedni certyfikat. Naturalnie możemy skorzystać z usług zewnętrznych dostawców (odpłatnie), jednak w większości organizacji w zupełności zadowalającym rozwiązaniem będzie skorzystanie z wewnętrznego PKI. Do naszych zastosowań wystarczy wygenerowanie certyfikatu opartego na zwykłym wzorze stosowanym do stron internetowych. Protokół WinRM nie wymaga żadnych dodatkowych właściwości. Jeśli nasz urząd certyfikacji umożliwia występowanie o klucze w ramach Active Directory, a bieżący serwer ma uprawnienia wymagane do wystąpienia o taki certyfikat – wystarczy skorzystać z polecenia Get-Certificate. Aby łatwiej odnaleźć tworzony przez nas obiekt, nadamy mu odpowiednią nazwę (FriendlyName):

$prosba = @{
Url = 'ldap:'
Template = 'SSL'
SubjectName = 'cn=jumpbox.monad.net'
DnsName = 'jumpbox.monad.net', 'jumpbox'
CertStoreLocation = 'Cert:\LocalMachine\My'
}

$odpowiedz = Get-Certificate @prosba
$odpowiedz.Certificate.FriendlyName = 'WinRM SSL'

Po prawidłowym wykonaniu powyższych poleceń powinniśmy móc odnaleźć nowo stworzony certyfikat zarówno za pomocą narzędzi graficznych (konsolka MMC), jak i PowerShella (sprawdzając zawartość odpowiedniego folderu w ramach dostawcy odpowiedzialnego za magazyny certyfikatów). Skorzystamy z drugiej metody:

Get-ChildItem -LiteralPath $odpowiedz.Certificate.PSPath |`
Format-List -Property FriendlyName, Thumbprint, `
DnsNAmeList, Issuer, Subject

FriendlyName : WinRM SSL
Thumbprint : 27B1A70BF4E0F1ACF13F4BAEA1CBDA83B86F5AA1
DnsNameList : {jumpbox.monad.net, jumpbox}
Issuer : CN=monad-CA-CA, DC=monad, DC=net
Subject : CN=jumpbox.monad.net

Odcisk palca naszego certyfikatu przyda się w kolejnym kroku, w trakcie tworzenia końcówki, która umożliwi połączenia za pomocą WinRM zabezpieczonego przez SSL.
 

[...]

 

Bartosz Bielawski
Autor zawodowo zajmuje się informatyką. Jest Microsoft MVP w dziedzinie PowerShella, blogerem oraz jednym z moderatorów forum dotyczącego skryptów w serwisie TechNet.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"