Resolver problemas de CredSSP
Enquanto você avalia as tarefas de gerenciamento e manutenção do Azure Stack HCI, a equipe de Segurança da Informação da Contoso está examinando as implicações relacionadas à segurança do novo modelo operacional. Uma das áreas de particular interesse é a autenticação. A Contoso conta com o AD DS como seu provedor de identidade para cargas de trabalho baseadas em Windows e Linux, com Kerberos como o protocolo de autenticação principal. A equipe de Segurança da Informação pediu que você identificasse as tarefas HCI do Azure Stack que podem depender de outros protocolos de autenticação e determinasse as implicações potenciais de seu uso. Ao longo de sua avaliação, você encontrou vários cenários que o forçaram a mudar temporariamente para a autenticação baseada em CredSSP. Agora, você quer verificar a necessidade do CredSSP e documentar quaisquer considerações potenciais sobre seu uso.
Visão geral da função da autenticação CredSSP no Azure Stack HCI
O objetivo principal do CredSSP é facilitar cenários de delegação remota que envolvem três componentes: um cliente, um servidor e um recurso remoto. Com CredSSP, um usuário se autentica no cliente, que delega as credenciais do usuário ao servidor, que, por sua vez, usa essas credenciais para acessar o recurso remoto. Essa delegação é frequentemente um requisito ao usar o Gerenciamento Remoto do Windows (WinRM) e a Comunicação Remota do PowerShell.
Nota
Ao contrário do Kerberos, que permite a delegação restrita restringindo o serviço remoto a ser acessado com credenciais delegadas, o CredSSP passa credenciais para o servidor sem restrições. Devido a esse recurso, embora o CredSSP seja mais fácil de configurar, ele não oferece o mesmo nível de proteção que o Kerberos. Se o servidor estiver comprometido, as credenciais do usuário poderão ser usadas para obter acesso a outros recursos da rede.
Nota
A autenticação CredSSP serve como uma solução alternativa para ambientes onde a implementação da delegação Kerberos não é uma opção viável. A configuração da delegação restrita de Kerberos requer acesso privilegiado ao AD DS.
Algumas operações baseadas no Azure Stack HCI WinRM exigem delegação, o que inclui a execução do assistente Criar Cluster baseado no Windows Admin Center e a configuração da CAU (Atualização com Suporte a Cluster). Nesses casos, você pode habilitar temporariamente o CredSSP entre seu computador de gerenciamento e os servidores HCI do Azure Stack.
Nota
Você deve desativar CredSSP depois de concluir a tarefa que depende de sua funcionalidade.
Gerenciar e solucionar problemas do CredSSP no Azure Stack HCI
Os métodos de definição das configurações do CredSSP baseadas no WinRM incluem o utilitário WinRM, as Políticas de Grupo e o Windows PowerShell. Independentemente do método escolhido, você precisa habilitar a delegação CredSSP para o cliente e o servidor. CredSSP também requer um ouvinte HTTPS no servidor. Além disso, os objetos do servidor AD DS e do computador cliente devem incluir os valores do atributo SPN (Nome da Entidade de Serviço) associados à classe de serviço WSMAN.
Para habilitar a delegação de credenciais de usuário baseada em CredSSP para um servidor, execute o seguinte comando em uma sessão elevada do PowerShell no computador cliente (onde o espaço reservado representa o nome DNS totalmente qualificado <server_FQDN_name>
do servidor):
Enable-WsmanCredSSP -Role Client -DelegateComputer <server_FQDN_name>
Para habilitar a delegação baseada em CredSSP no servidor, conecte-se a ela (por exemplo, por meio de uma sessão de console ou Área de Trabalho Remota) e execute o seguinte comando em uma sessão elevada do PowerShell:
Enable-WsmanCredSSP -Role Server
O processo de verificação e solução de problemas da configuração do atributo SPN é o mesmo para os computadores cliente e servidor. Em ambos os casos, comece executando o seguinte comando no prompt de comando elevado (onde o espaço reservado representa o nome do computador para o qual você deseja identificar o <computer_name>
SPN):
setspn -Q WSMAN/<computer_name>
Os resultados devem incluir WSMAN/<computer_name>
e WSMAN/<computer_FQDN_name>
. Se esse não for o caso, execute o seguinte comando em um prompt de comando elevado (onde o espaço reservado representa o nome do computador para o qual você está registrando o <computer_name>
SPN):
setspn -S WSMAN/<computer_name> <computer_name>
Como parte do gerenciamento e solução de problemas do CredSSP no Azure Stack HCI, você também deve ter em mente as seguintes considerações de autenticação e autorização:
- Os privilégios de função de administrador de gateway são necessários para muitas tarefas relacionadas à delegação, incluindo habilitar e desabilitar o CredSSP no Windows Admin Center ou executar o assistente Criar Cluster.
- O computador que hospeda o Windows Admin Center deve ser membro do mesmo domínio do AD DS que o cluster HCI do Azure Stack gerenciado.