ksu , суперпользователь Kerberized , может использовать файл кэша учетных данных (т. е. содержащий билет Kerberos для пользователя u1) для выполнения оболочки / команды с пользователем u1.

Я долгое время работал с Linux, и теперь я перехожу в мир Windows и домен Active Directory. Я абсолютный новичок. Я понял, что в Windows учетные данные (также Krb) управляются и хранятся через службу LSASS, я понял, что команда RunAs выполняет задачу, аналогичную Linux su/sudo, но предоставляя имя пользователя / пароль. Я не могу найти команду для выполнения той же задачи с уже полученными учетными данными Krb.

Вопросы

  • В Windows, как я могу выполнить скрипт на имя другого пользователя, используя полученные билеты Krb (хранящиеся в LSASS или другом файле кэша)? Есть ли команда?
  • Или же.. Есть ли способ сделать это программно с C #/Java?
  • Или же.. Есть ли способ выполнить сценарий оболочки удаленно с GSSAPI, предоставив перенаправляемый билет Krb?

Возможность использовать Linux как файлы ccache для учетных данных ... было бы здорово. С уважением

1 ответ1

1

Боюсь, что в Windows нет способа заставить его работать таким же образом.

Довольно неудачное решение - использовать команду runas с параметром /savecred . Это сохраняет пароль, поэтому его нужно вводить только при первом использовании команды RunAs, но это очень плохая идея, поскольку она создает дыру в безопасности. Есть также хитрость в том, что он работает только со встроенной учетной записью администратора, отключенной по умолчанию, что создает вторую зияющую дыру в безопасности.

Подробнее о том, как заставить его работать, смотрите Как создать ярлык, который позволяет обычному пользователю запускать приложение от имени администратора.

Я бы действительно советовал использовать команду RunAs с именем пользователя и указывать пароль во время выполнения.

Для удаленного выполнения см. Инструмент PsExec для запуска интерактивных командных запросов на удаленных системах.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .