Score:0

การโรลโอเวอร์คีย์ถอดรหัส Azure AD Kerberos; ใหม่ AzureADSSOAuthenticationContext; ใช้โทเค็นแทน pscredential

ธง ae

เราทำกระบวนการโรลโอเวอร์คีย์การถอดรหัส Kerberos 30 วันโดยอัตโนมัติโดยใช้รหัสผ่าน "เข้ารหัส" ที่จัดเก็บไว้ในไฟล์ข้อความเพื่อสร้างวัตถุ PSCredential ที่จำเป็นสำหรับคำสั่ง Powershell new-azureADSSOAuthenticationContext

ใช้งานได้ - แต่ฉันต้องการปรับปรุงความปลอดภัยทั่วไปและต้องการกำจัดวัตถุ PSCredential สำหรับผู้ดูแลระบบส่วนกลางของผู้เช่าของเราบน Azure

ฉันเห็นว่าคำสั่ง new-azureADSSOAuthenticationContext สามารถฟีดด้วยโทเค็นการเข้าถึง (ผ่านพารามิเตอร์ -token) โทเค็นการเข้าถึงที่ฉันสามารถเรียกคืนได้โดยใช้ใบรับรองที่จัดเก็บไว้ในที่เก็บใบรับรองของเครื่องที่ปลอดภัยกว่ามากโดยใช้ "Get-MsalToken"

จนถึงตอนนี้ ฉันได้สร้างแอป Azure ได้มอบหมาย SecurityPrincipal ให้เป็น Global Administrator (ภายใต้ Enterprise Apps) และได้สร้างใบรับรองที่ลงนามด้วยตนเอง (เก็บไว้ในที่เก็บส่วนตัวของเครื่อง) และอัปโหลดใบรับรองนี้ไปยังแอป Azure

ฉันได้รับโทเค็นด้วย: $Token = Get-MsalToken -ClientId $ClientId -TenantId $TenantId -ClientCertificate $Certificate -RedirectUri "http://bla.com"

ใช้งานได้และฉันสามารถใช้โทเค็นภายใน new-azureADSSOAuthenticationContext

แต่เมื่อฉันเรียก Update-AzureADSSOForest -OnPremCredentials $OnpremCred ฉันได้รับข้อผิดพลาดต่อไปนี้:

  • เมื่อทำงานภายใต้ Powershell 7 "ใหม่": เส้น | 133 | อัปเดต AzureADSSOForest -OnPremCredentials $OnpremCred | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ | ไม่สามารถโหลดประเภท 'System.ServiceModel.Web.WebChannelFactory`1' จากแอสเซมบลี 'System.ServiceModel.Web, Version=4.0.0.0, Culture=neutral, | PublicKeyToken=31bf3856ad364e35'

  • เมื่อทำงานภายใต้ Powershell "เก่า" 5.1: อัปเดต AzureADSSOForest: การอัปโหลดข้อมูลบัญชีคอมพิวเตอร์ล้มเหลว ข้อความแสดงข้อผิดพลาด: คำขอ DesktopSsoNumOfDomains ถูกสร้างขึ้นด้วยโทเค็นการรับรองความถูกต้องที่ไม่ถูกต้อง ค่า:'' ที่ C:\Scripts\DEV-MIHA\KerberosKeyRollover\M365_Kerberos_Key_Rollover.ps1:133 char:1

  • อัปเดต AzureADSSOForest -OnPremCredentials $OnpremCred
  •   + CategoryInfo : NotSpecified: (:) [Update-AzureADSSOForest], ข้อยกเว้น
      + FullyQualifiedErrorId : System.Exception,Microsoft.KerberosAuth.Powershell.PowershellCommands.UpdateAzureADSSOForestCommand
    
    

คำแนะนำ: ฉันได้อ่านเกี่ยวกับปัญหาทั่วไปมาหลายชั่วโมงแล้ว - และจนถึงขณะนี้ยังไม่พบวิธีแก้ปัญหาใด ๆ สำหรับปัญหานี้ ยกเว้นว่าบางคนอ้างว่าเป็นไปไม่ได้ในขณะนี้

แต่อาจมีใครบางคนจัดการสิ่งที่ฉันต้องการบรรลุแล้ว

ข้อเสนอแนะยินดีต้อนรับ :-)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา