Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Protokół WinRM. Zarządzanie Windows z poziomu Linuksa

Data publikacji: 23-02-2017 Autor: Bartosz Bielawski

W pierwszej części cyklu („IT Professional” 2/2017, s. 18) opisaliśmy, jak użyć Pythona i dostępnej w nim biblioteki pywinrm, aby zacząć skutecznie zarządzać systemem Windows z poziomu Linuksa. W niniejszym artykule skupimy się głównie na wykonywaniu rozbudowanych poleceń i zabezpieczeniu komunikacji ze zdalnym systemem.

Pywinrm umożliwia wykorzystanie protokołu WinRM do zdalnego wykonywania poleceń i względnie bezpiecznego zarządzania Windows, wprowadzając niewielkie zmiany po stronie celu. Często jednak poziom „względnie bezpieczny” nas nie zadowoli. W tej części cyklu opiszemy, co musimy zmienić, aby odpowiednio zagwarantować bezpieczeństwo połączenia. Drugim problemem, który pozostawiliśmy nierozwiązany, jest ograniczenie długości uruchamianego skryptu. I choć tego problemu nie da się rozwiązać, przyjrzymy się, jak można go obejść.

> WINRM I CERTYFIKATY

Protokół WinRM opiera się w znacznej mierze na protokole HTTP. Komunikację pomiędzy klientem a serwerem możemy zabezpieczyć za pomocą Secure Socket Layer (SSL). Aby z możliwości tej skorzystać, podobnie jak to ma miejsce w przypadku innych tego typu zastosowań, w pierwszej kolejności musimy zadbać o odpowiedni certyfikat. Naturalnie możemy skorzystać z usług zewnętrznych dostawców (odpłatnie), jednak w większości organizacji w zupełności zadowalającym rozwiązaniem będzie skorzystanie z wewnętrznego PKI. Do naszych zastosowań wystarczy wygenerowanie certyfikatu opartego na zwykłym wzorze stosowanym do stron internetowych. Protokół WinRM nie wymaga żadnych dodatkowych właściwości. Jeśli nasz urząd certyfikacji umożliwia występowanie o klucze w ramach Active Directory, a bieżący serwer ma uprawnienia wymagane do wystąpienia o taki certyfikat – wystarczy skorzystać z polecenia Get-Certificate. Aby łatwiej odnaleźć tworzony przez nas obiekt, nadamy mu odpowiednią nazwę (FriendlyName):

$prosba = @{
Url = 'ldap:'
Template = 'SSL'
SubjectName = 'cn=jumpbox.monad.net'
DnsName = 'jumpbox.monad.net', 'jumpbox'
CertStoreLocation = 'Cert:\LocalMachine\My'
}

$odpowiedz = Get-Certificate @prosba
$odpowiedz.Certificate.FriendlyName = 'WinRM SSL'

Po prawidłowym wykonaniu powyższych poleceń powinniśmy móc odnaleźć nowo stworzony certyfikat zarówno za pomocą narzędzi graficznych (konsolka MMC), jak i PowerShella (sprawdzając zawartość odpowiedniego folderu w ramach dostawcy odpowiedzialnego za magazyny certyfikatów). Skorzystamy z drugiej metody:

Get-ChildItem -LiteralPath $odpowiedz.Certificate.PSPath |`
Format-List -Property FriendlyName, Thumbprint, `
DnsNAmeList, Issuer, Subject

FriendlyName : WinRM SSL
Thumbprint : 27B1A70BF4E0F1ACF13F4BAEA1CBDA83B86F5AA1
DnsNameList : {jumpbox.monad.net, jumpbox}
Issuer : CN=monad-CA-CA, DC=monad, DC=net
Subject : CN=jumpbox.monad.net

Odcisk palca naszego certyfikatu przyda się w kolejnym kroku, w trakcie tworzenia końcówki, która umożliwi połączenia za pomocą WinRM zabezpieczonego przez SSL.
 

[...]

 

Bartosz Bielawski
Autor zawodowo zajmuje się informatyką. Jest Microsoft MVP w dziedzinie PowerShella, blogerem oraz jednym z moderatorów forum dotyczącego skryptów w serwisie TechNet.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"